Trojaner-Board - Brauche Hilfe bei Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brauche Hilfe bei Log - Files (https://www.trojaner-board.de/56816-brauche-hilfe-log-files.html)

Brauche Hilfe bei Log - Files

So. Zuerst schildere ich mal mein Problem. Hier im Forum wurde es glaub auch schon ein paar mal gepostet. Und zwar war mein Desktop - Hintergrund Bild verschwunden, ich konnte es auch nicht mehr ändern und statt dessen war ein stechendes blau mit der nachricht das mein system mit spyware infiziert ist als hinter grund bild. zudem hatte sich von ganz alleine das programm antivirus 2008 installiert! alle par sekunden ging vun meinem AntiVir die nachricht ein, dass der trojaner Fakealert oder so etwas zugreifen willte...wie oft ich auch in quarantäne verschob oder löschte, er kam immer wieder. und ein zweiter tronat dessen name ich ni h mehr weis erscheinter auch dauernd, das selbe spiel -.- jedenfalls konnt ich das mit antiVir nicht loskriegen. dieses selbst installierte anbtivirus 2008 zeigt mir 1900 viren an!! man kann sie aber damit nich entfernen...nur mit der vollversion...die ich natürlich nicht kaufen wollte...fand dieses programm sehr seltsam...hab dann mal nen hijack this gemacht...dann mit comboFix ......dann beides nochmal...ergebnis: antiVir findet nichts mehr, antivirus 2008 konnt ich entfernen..war anscheinend gelöscht worden, bis auf das dektop icon..und desktop hintergrund kann ich selbst wieder einstellen...so die virus synthome sind verschwunden, gehe aber dann von aus dass es das noch lang nicht wahr, oder?? stehe jetzt hier mit 6 LOG/REPORT DATEIN, hijack,combofix und antiVir jeweils eine vor und eine nach dem ersten combofix (hatte ja die synthome entfernt) aber mir ist glaub ein fehler unterlaufen, während hijack und combofix habe ich antiVir nicht deaktiviert.....aber logfiles hab ich.....so der derzeitige stand.....suche jetzt jemanden der mir weiter hilft das komplett zu bereinigen....

Lg Manuel 70 :)

Hi Manuel70 und :hallo:

Selbst zu Bereinigen ist immer schlecht, jetzt sehen wir nicht mehr was auf Deinem Rechner los war und können es nur noch sehr schwer nachvollziehen.

Lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.

bitte die Logs in Code- Tags setzen.

gruß

schrauber

So vielen Dank erst mal für die rasche Antwort.
Und hier die Log - Files:
main.txt :

Code:

Deckard's System Scanner v20071014.68

Run by manuel on 2008-07-28 18:14:42

Computer is in Normal Mode.

--------------------------------------------------------------------------------
 

-- System Restore --------------------------------------------------------------
 

Failed to create restore point; disk is full.
 
 

Backed up registry hives.

Performed disk cleanup.
 
 Total Physical Memory: 256 MiB (512 MiB recommended).
 System Drive C: has 0.16 GiB (less than 15%) free.
 
 

-- HijackThis Clone ------------------------------------------------------------
 
 

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2008-07-28 18:15:50

Platform: Windows XP Service Pack 1 (5.01.2600)

MSIE: Internet Explorer (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\system32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\explorer.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\manuel.ASDF\Desktop\Matze (privat)\dss.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Status Monitor.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe (file missing)

O15 - Trusted Zone: https://maxdome.1und1.de (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170182772381

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 
 

--

End of file - 3832 bytes
 

-- File Associations -----------------------------------------------------------
 
 .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
 

R2 ppsio (PrmxPPDev) - c:\windows\system32\drivers\ppsio.sys <Not Verified; ; Flatbed DevDriver/NT4>

R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>
 

S3 DCamUSBSTK007 (STK007 Camera) - c:\windows\system32\drivers\stk007w2.sys (file missing)
 
 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
 

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; AntiVir Workstation>
 
 

-- Device Manager: Disabled ----------------------------------------------------
 

No disabled devices found.
 
 

-- Files created between 2008-06-28 and 2008-07-28 -----------------------------
 

2008-07-27 13:33:34         0 d--h----- C:\WINDOWS\PIF

2008-07-27 12:43:10     68096 --a------ C:\WINDOWS\zip.exe

2008-07-27 12:43:10     49152 --a------ C:\WINDOWS\VFind.exe

2008-07-27 12:43:10    212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>

2008-07-27 12:43:10    136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>

2008-07-27 12:43:10    161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>

2008-07-27 12:43:10     98816 --a------ C:\WINDOWS\sed.exe

2008-07-27 12:43:10     80412 --a------ C:\WINDOWS\grep.exe

2008-07-27 12:43:10     89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >

2008-07-27 12:20:11         0 d-------- C:\Programme\Trend Micro
 
 

-- Find3M Report ---------------------------------------------------------------
 

2008-07-27 13:43:01         0 d-------- C:\Programme\Gemeinsame Dateien

2008-07-27 12:55:18    316924 --a----c- C:\WINDOWS\System32\perfh007.dat

2008-07-27 12:55:18     48354 --a----c- C:\WINDOWS\System32\perfc007.dat

2008-07-27 11:57:47         0 d-------- C:\Programme\a-squared HiJackFree

2008-06-01 17:00:44         0 d-------- C:\Dokumente und Einstellungen\manuel.ASDF\Anwendungsdaten\AdobeUM
 
 

-- Registry Dump ---------------------------------------------------------------
 

*Note* empty entries & legit default entries are not shown
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [29.10.2004 17:50]

"nwiz"="nwiz.exe" [29.10.2004 17:50 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [29.10.2004 17:50]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]

"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [26.01.2005 19:02]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [26.07.2008 13:59]

"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [17.05.2005 18:42]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [29.08.2002 12:43]
 

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\

Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [14.01.2007 13:22:46]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)

"HideLegacyLogonScripts"=0 (0x0)

"HideLogoffScripts"=0 (0x0)

"RunLogonScriptSync"=1 (0x1)

"RunStartupScriptSync"=0 (0x0)

"HideStartupScripts"=0 (0x0)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"HideLegacyLogonScripts"=0 (0x0)

"HideLogoffScripts"=0 (0x0)

"RunLogonScriptSync"=1 (0x1)

"RunStartupScriptSync"=0 (0x0)

"HideStartupScripts"=0 (0x0)
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"NBJ"="D:\Programme\ahead\Nero BackItUp\NBJ.exe"
 
 
 
 

-- End of Deckard's System Scanner: finished at 2008-07-28 18:16:29 ------------

und dann die Log - File zu extra.txt :

Code:

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------
 

-- System Information ----------------------------------------------------------
 

Microsoft Windows XP Professional (build 2600) SP 1.0

Architecture: X86; Language: German
 

CPU 0: Intel Pentium III-Prozessor

Percentage of Memory in Use: 49%

Physical Memory (total/avail): 255.48 MiB / 129.52 MiB

Pagefile Memory (total/avail): 618.35 MiB / 441.16 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1940.91 MiB
 

A: is Removable (No Media)

C: is Fixed (NTFS) - 3.91 GiB total, 0.16 GiB free. 

D: is Fixed (NTFS) - 24.05 GiB total, 22.29 GiB free. 

E: is CDROM (No Media)

F: is CDROM (No Media)

G: is CDROM (No Media)
 

\\.\PHYSICALDRIVE0 - WDC WD300AB-00BPA1 - 27.95 GiB - 2 partitions

  \PARTITION0 (bootable) - Installierbares Dateisystem - 3.91 GiB - C:

  \PARTITION1 - Installierbares Dateisystem - 24.05 GiB - D:
 
 
 

-- Security Center -------------------------------------------------------------
 

AUOptions is scheduled to auto-install.
 
 

-- Environment Variables -------------------------------------------------------
 

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users.WINDOWS

APPDATA=C:\Dokumente und Einstellungen\manuel.ASDF\Anwendungsdaten

CLIENTNAME=Console

CommonProgramFiles=C:\Programme\Gemeinsame Dateien

COMPUTERNAME=ASDF

ComSpec=C:\WINDOWS\system32\cmd.exe

HOMEDRIVE=C:

HOMEPATH=\Dokumente und Einstellungen\manuel.ASDF

LOGONSERVER=\\ASDF

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\SSH Communications Security\SSH Secure Shell

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 6, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0806

ProgramFiles=C:\Programme

PROMPT=$P$G

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOKUME~1\MANUEL~1.ASD\LOKALE~1\Temp

TMP=C:\DOKUME~1\MANUEL~1.ASD\LOKALE~1\Temp

USERDOMAIN=ASDF

USERNAME=manuel

USERPROFILE=C:\Dokumente und Einstellungen\manuel.ASDF

windir=C:\WINDOWS
 
 

-- User Profiles ---------------------------------------------------------------
 

manuel.ASDF (admin)
 
 

-- Add/Remove Programs ---------------------------------------------------------
 

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

a-squared HiJackFree 2.1 --> "C:\Programme\a-squared HiJackFree\unins000.exe"

Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete

Adobe Flash Player Plugin --> C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe

Avira AntiVir Personal - Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

Brother MFL-Pro Suite --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}\Setup.exe" -l0x7 Brunin03.dllBrunin03.dll

Canon PowerShot S45 WIA-Treiber --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{938DB54D-B302-4594-A782-32219F1734AB} 

Compatibility Pack für 2007 Office System (Beta) --> MsiExec.exe /X{30120000-0020-0407-0000-0000000FF1CE}

DAEMON Tools --> MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}

Free Video to Mp3 Converter version 2.7 --> "C:\Programme\DVDVIDEOSOFT\Free Video to Mp3 Converter\unins000.exe"

Guitar Pro 5.2 --> "H:\Guitar Pro 5\Guitar Pro 5\unins000.exe"

HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall

ICQ 5.1 --> H:\Programme\ICQLite\ICQLiteUninstall.EXE

InstallRTC --> MsiExec.exe /X{200F584F-848D-4B6B-B1A1-C74D735F18A4}

Macromedia Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log

Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf

Mozilla Firefox (2.0.0.16) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe

Nero 6 Ultra Edition --> d:\Programme\ahead\nero\uninstall\UNNERO.exe /UNINSTALL

NVIDIA Drivers --> C:\WINDOWS\System32\nvudisp.exe UninstallGUI

Outlook Express Q823353 --> C:\WINDOWS\oeuninst.exe C:\WINDOWS\INF\Q823353.inf

SSH Secure Shell --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{74E2CD0C-D4A2-11D3-95A6-0000E86CFDE5}\Setup.exe" 

Tweakui Powertoy for Windows XP --> MsiExec.exe /I{C7793EE8-F666-4E6B-9827-76468679480E}

Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"

Windows XP-Hotfix - KB823182 --> C:\WINDOWS\$NtUninstallKB823182$\spuninst\spuninst.exe

Windows XP-Hotfix - KB824105 --> C:\WINDOWS\$NtUninstallKB824105$\spuninst\spuninst.exe

Windows XP-Hotfix - KB825119 --> C:\WINDOWS\$NtUninstallKB825119$\spuninst\spuninst.exe

Windows XP-Hotfix - KB826939 --> C:\WINDOWS\$NtUninstallKB826939$\spuninst\spuninst.exe

Windows XP-Hotfix - KB828035 --> C:\WINDOWS\$NtUninstallKB828035$\spuninst\spuninst.exe

Windows XP-Hotfix - KB828741 --> C:\WINDOWS\$NtUninstallKB828741$\spuninst\spuninst.exe

Windows XP-Hotfix - KB833987 --> C:\WINDOWS\$NtUninstallKB833987$\spuninst\spuninst.exe

Windows XP-Hotfix - KB835732 --> C:\WINDOWS\$NtUninstallKB835732$\spuninst\spuninst.exe

Windows XP-Hotfix - KB837001 --> C:\WINDOWS\$NtUninstallKB837001$\spuninst\spuninst.exe

Windows XP-Hotfix - KB840315 --> C:\WINDOWS\$NtUninstallKB840315$\spuninst\spuninst.exe

Windows XP-Hotfix - KB840374 --> C:\WINDOWS\$NtUninstallKB840374$\spuninst\spuninst.exe

Windows XP-Hotfix - KB840987 --> C:\WINDOWS\$NtUninstallKB840987$\spuninst\spuninst.exe

Windows XP-Hotfix - KB841356 --> C:\WINDOWS\$NtUninstallKB841356$\spuninst\spuninst.exe

Windows XP-Hotfix - KB841533 --> C:\WINDOWS\$NtUninstallKB841533$\spuninst\spuninst.exe

Windows XP-Hotfix - KB841873 --> C:\WINDOWS\$NtUninstallKB841873$\spuninst\spuninst.exe

Windows XP-Hotfix - KB842773 --> C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe

Windows XP-Hotfix - KB873376 --> C:\WINDOWS\$NtUninstallKB873376$\spuninst\spuninst.exe

Windows XP-Hotfix - KB887822 --> C:\WINDOWS\$NtUninstallKB887822$\spuninst\spuninst.exe

Windows XP-Hotfix - KB889293 --> C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$\spuninst\spuninst.exe

Windows XP-Hotfix (SP2) Q819696 --> C:\WINDOWS\$NtUninstallQ819696$\spuninst\spuninst.exe

WinRAR --> C:\Programme\WinRAR\uninstall.exe

xp-AntiSpy 3.92 --> C:\Programme\xp-AntiSpy\uninst.exe
 
 

-- Application Event Log -------------------------------------------------------
 

Event Record #/Type1952 / Warning

Event Submitted/Written: 07/27/2008 00:32:25 PM

Event ID/Source: 4113 / Avira AntiVir

Event Description:

TR/Crypt.XPACK.GenC:\Dokumente und Einstellungen\manuel.ASDF\Lokale Einstellungen\Temp\.tt5E.tmp
 

Event Record #/Type1951 / Warning

Event Submitted/Written: 07/27/2008 00:22:03 PM

Event ID/Source: 4113 / Avira AntiVir

Event Description:

TR/Crypt.XPACK.GenC:\Dokumente und Einstellungen\manuel.ASDF\Lokale Einstellungen\Temp\.tt55.tmp
 

Event Record #/Type1950 / Warning

Event Submitted/Written: 07/27/2008 00:11:27 PM

Event ID/Source: 4113 / Avira AntiVir

Event Description:

TR/Crypt.XPACK.GenC:\Dokumente und Einstellungen\manuel.ASDF\Lokale Einstellungen\Temp\.tt51.tmp
 

Event Record #/Type1949 / Warning

Event Submitted/Written: 07/27/2008 00:04:01 PM

Event ID/Source: 4113 / Avira AntiVir

Event Description:

TR/Fakealert.AGC:\WINDOWS\System32\pphce8gj0ea75.exe
 

Event Record #/Type1948 / Warning

Event Submitted/Written: 07/27/2008 00:03:49 PM

Event ID/Source: 4113 / Avira AntiVir

Event Description:

TR/Fakealert.AGC:\WINDOWS\System32\pphce8gj0ea75.exe
 
 
 

-- Security Event Log ----------------------------------------------------------
 

No Errors/Warnings found.
 
 

-- System Event Log ------------------------------------------------------------
 

Event Record #/Type25154 / Error

Event Submitted/Written: 07/28/2008 06:16:08 PM

Event ID/Source: 7016 / Service Control Manager

Event Description:

Der Dienst "BrSplService" hat einen ungültigen aktuellen Status gemeldet: 0
 

Event Record #/Type25141 / Error

Event Submitted/Written: 07/28/2008 05:41:38 PM / 07/28/2008 05:42:09 PM

Event ID/Source: 4 / ACPI

Event Description:

AMLI: ACPI-BIOS versucht, von einer ungültigen E/A-Portadresse (0x71) zu lesen, die sich in "0x70 - 0x71", einem

geschützten Adressbereich, befindet. Dies kann zu Systeminstabilität führen. Wenden Sie sich and den Systemhersteller,

um technische Unterstützung zu erhalten.
 

Event Record #/Type25138 / Error

Event Submitted/Written: 07/28/2008 05:41:38 PM / 07/28/2008 05:42:08 PM

Event ID/Source: 5 / ACPI

Event Description:

AMLI: ACPI-BIOS versucht, in eine ungültige E/A-Portadresse (0x70) zu schreiben, die sich in "0x70 - 0x71", einem

geschützten Adressbereich befindet. Dies kann zu Systeminstabilität führen. Wenden Sie sich an den Systemhersteller,

um technische Unterstützung zu erhalten.
 

Event Record #/Type25123 / Error

Event Submitted/Written: 07/27/2008 06:49:53 PM / 07/27/2008 06:50:24 PM

Event ID/Source: 4 / ACPI

Event Description:

AMLI: ACPI-BIOS versucht, von einer ungültigen E/A-Portadresse (0x71) zu lesen, die sich in "0x70 - 0x71", einem

geschützten Adressbereich, befindet. Dies kann zu Systeminstabilität führen. Wenden Sie sich and den Systemhersteller,

um technische Unterstützung zu erhalten.
 

Event Record #/Type25120 / Error

Event Submitted/Written: 07/27/2008 06:49:53 PM / 07/27/2008 06:50:23 PM

Event ID/Source: 5 / ACPI

Event Description:

AMLI: ACPI-BIOS versucht, in eine ungültige E/A-Portadresse (0x70) zu schreiben, die sich in "0x70 - 0x71", einem

geschützten Adressbereich befindet. Dies kann zu Systeminstabilität führen. Wenden Sie sich an den Systemhersteller,

um technische Unterstützung zu erhalten.
 
 
 

-- End of Deckard's System Scanner: finished at 2008-07-28 18:16:29 ------------

So, das wars.

Liebe Grüße Manuel

Das hab ich gemeint, nichts mehr richtig zu erkennen.

Scanne Deinen Rechner mit Malwarebytes Antimalware , Funde löschen lassen und das Log posten.

===========================================================

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.

Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
=> Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

gruß

schrauber

Habe ähnliches Problem

Hallo Schrauber,

ich habe ein ähnliches Problem, will hier aber nicht dazwischen funken. Könntest Du mal hier reinschauen (http://www.trojaner-board.de/56843-desktop-laesst-sich-nicht-mehr-aendern.html)
Dark Viruz hat mir eine neuinstallation empfohlen. Meine Hoffnung - es geht vielleicht noch anders.

Gruß

Molly2007

So dann poste ich mal die Log - File von Hijack, die ich erstellt habe BEVOR ich mit combofix gefxt habe..

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:23:42, on 27.07.2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\brss01a.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\lphce8gj0ea75.exe

C:\Programme\rhca8gj0ea75\rhca8gj0ea75.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\wuauclt.exe

c:\programme\antivir personaledition classic\avcenter.exe

c:\programme\antivir personaledition classic\avscan.exe

C:\WINDOWS\System32\pphce8gj0ea75.exe

C:\Programme\Trend Micro\HijackThis\pruefung1.com

C:\WINDOWS\SoftwareDistribution\Download\ded1977529d5ff1eb93d4d1ec5bee02f\update\update.exe
 

O2 - BHO: (no name) - {72F24B05-C207-4487-9AA5-FF6F0B4E246B} - C:\WINDOWS\System32\ati2dvaal.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [ICQ Lite] "H:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [lphce8gj0ea75] C:\WINDOWS\System32\lphce8gj0ea75.exe

O4 - HKLM\..\Run: [SMrhca8gj0ea75] C:\Programme\rhca8gj0ea75\rhca8gj0ea75.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe (file missing)

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170182772381

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 

--

End of file - 4041 bytes

So und dann hab ich combofix benutzt...das hat dann die viren auswirkungen mit hintergrund vorläufig mal gestoppt....die log - file die ich ausgespuckt bekam von combofix sah so aus:

Code:

ComboFix 08-07-23.5 - XXX 2008-07-27 12:45:15.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\XXX.ASDF\Desktop\YYY (privat)\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\rhca8gj0ea75

C:\Programme\Microsoft Security Adviser

C:\Programme\Microsoft Security Adviser\mssadv_sp.log

C:\Programme\rhca8gj0ea75

C:\WINDOWS\system32\blphce8gj0ea75.scr

C:\WINDOWS\system32\lphce8gj0ea75.exe

C:\WINDOWS\system32\phce8gj0ea75.bmp
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_GB

-------\Service_gb
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-06-27 bis 2008-07-27  ))))))))))))))))))))))))))))))

.
 

2008-07-27 12:20 . 2008-07-27 12:20        <DIR>        d--------        C:\Programme\Trend Micro

2008-07-27 11:52 . 2008-07-27 11:52        <DIR>        d--------        C:\WINDOWS\LastGood.Tmp

2008-07-26 16:39 . 2008-07-26 16:39        0        --a------        C:\WINDOWS\system32\1F.tmp

2008-07-26 16:38 . 2007-07-30 19:18        34,136        --a------        C:\WINDOWS\system32\wucltui.dll.mui

2008-07-26 16:38 . 2007-07-30 19:20        30,040        --a------        C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-07-26 16:38 . 2007-07-30 19:20        30,040        --a------        C:\WINDOWS\system32\wuapi.dll.mui

2008-07-26 16:38 . 2007-07-30 19:18        20,824        --a------        C:\WINDOWS\system32\wuaueng.dll.mui
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-27 09:57        ---------        d-----w        C:\Programme\a-squared HiJackFree

2008-06-23 10:06        ---------        d-----w        C:\Programme\Zone Labs

2008-06-09 12:04        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-06-01 15:00        ---------        d-----w        C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\AdobeUM

2005-11-27 16:19        21,040        -c--a-w        C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2003-04-11 14:11        520,192        --sha-w        C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe

2007-05-25 15:38        2,464,032        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat

2007-05-25 15:38        54,560        --sha-w        C:\WINDOWS\system32\drivers\fidbox2.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:43 13312]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-10-29 17:50 4620288]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-10-29 17:50 86016]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 19:02 49152]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 13:59 266497]

"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 18:42 933888]

"nwiz"="nwiz.exe" [2004-10-29 17:50 921600 C:\WINDOWS\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.dvsd"= dvc.dll
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"NBJ"="D:\Programme\ahead\Nero BackItUp\NBJ.exe"
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-24 10:48]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-26 13:59]

R2 ppsio;PrmxPPDev;C:\WINDOWS\System32\drivers\ppsio.sys [2001-11-25 12:00]

S3 DCamUSBSTK007;STK007 Camera;C:\WINDOWS\System32\DRIVERS\STK007W2.sys []
 

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
 

BHO-{72F24B05-C207-4487-9AA5-FF6F0B4E246B} - C:\WINDOWS\System32\ati2dvaal.dll

HKLM-Run-ICQ Lite - H:\Programme\ICQLite\ICQLite.exe

HKLM-Run-lphce8gj0ea75 - C:\WINDOWS\System32\lphce8gj0ea75.exe

HKLM-Run-SMrhca8gj0ea75 - C:\Programme\rhca8gj0ea75\rhca8gj0ea75.exe
 
 

.

------- Zus„tzlicher Scan -------

.

O8 -: Nach Microsoft &Excel exportieren - D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-07-27 12:49:16

Windows 5.1.2600 Service Pack 1 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\WINDOWS\system32\brss01a.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-07-27 12:52:36 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-07-27 10:52:29
 

Pre-Run: 54,407,168 Bytes frei

Post-Run: 102,469,632 Bytes frei
 

101

so...und dann hab ich nochmal hijack this drüber laufen lassen, sah aus wie folgt:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:34:29, on 27.07.2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\notepad.exe

C:\Programme\Trend Micro\HijackThis\pruefung2.com
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe (file missing)

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170182772381

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 

--

End of file - 3611 bytes

so dann hab ich noch einmal combofix genutzt

Code:

ComboFix 08-07-23.5 - XXX 2008-07-27 13:42:05.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.1.1252.1.1031.18.121 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\XXX.ASDF\Desktop\YYY (privat)\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-06-27 bis 2008-07-27  ))))))))))))))))))))))))))))))

.
 

2008-07-27 13:33 . 2008-07-27 13:33        <DIR>        d--h-----        C:\WINDOWS\PIF

2008-07-27 12:52 .         <DIR>                C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T

2008-07-27 12:52 .         <DIR>                C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T

2008-07-27 12:20 . 2008-07-27 12:20        <DIR>        d--------        C:\Programme\Trend Micro

2008-07-26 16:39 . 2008-07-26 16:39        0        --a------        C:\WINDOWS\system32\1F.tmp

2008-07-26 16:38 . 2007-07-30 19:18        34,136        --a------        C:\WINDOWS\system32\wucltui.dll.mui

2008-07-26 16:38 . 2007-07-30 19:20        30,040        --a------        C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-07-26 16:38 . 2007-07-30 19:20        30,040        --a------        C:\WINDOWS\system32\wuapi.dll.mui

2008-07-26 16:38 . 2007-07-30 19:18        20,824        --a------        C:\WINDOWS\system32\wuaueng.dll.mui
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-27 09:57        ---------        d-----w        C:\Programme\a-squared HiJackFree

2008-06-23 10:06        ---------        d-----w        C:\Programme\Zone Labs

2008-06-09 12:04        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-06-01 15:00        ---------        d-----w        C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\AdobeUM

2005-11-27 16:19        21,040        -c--a-w        C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2003-04-11 14:11        520,192        --sha-w        C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe

2007-05-25 15:38        2,464,032        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat

2007-05-25 15:38        54,560        --sha-w        C:\WINDOWS\system32\drivers\fidbox2.dat

.
 

(((((((((((((((((((((((((((((   snapshot@2008-07-27_12.52.03.95   )))))))))))))))))))))))))))))))))))))))))

.

- 2008-07-27 09:49:22        16,384        -c--a-w        C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

+ 2008-07-27 10:48:54        16,384        -c--a-w        C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

- 2008-07-27 09:49:22        49,152        -c--a-w        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

+ 2008-07-27 10:48:54        49,152        -c--a-w        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

- 2008-07-27 09:49:22        32,768        -c--a-w        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2008-07-27 10:48:54        32,768        -c--a-w        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

- 2008-04-03 17:32:13        48,354        ----a-w        C:\WINDOWS\system32\perfc007.dat

+ 2008-07-27 10:55:18        48,354        ----a-w        C:\WINDOWS\system32\perfc007.dat

- 2008-04-03 17:32:13        40,128        ----a-w        C:\WINDOWS\system32\perfc009.dat

+ 2008-07-27 10:55:18        40,128        ----a-w        C:\WINDOWS\system32\perfc009.dat

- 2008-04-03 17:32:13        316,924        ----a-w        C:\WINDOWS\system32\perfh007.dat

+ 2008-07-27 10:55:18        316,924        ----a-w        C:\WINDOWS\system32\perfh007.dat

- 2008-04-03 17:32:13        311,740        ----a-w        C:\WINDOWS\system32\perfh009.dat

+ 2008-07-27 10:55:18        311,740        ----a-w        C:\WINDOWS\system32\perfh009.dat

.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:43 13312]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-10-29 17:50 4620288]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-10-29 17:50 86016]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 19:02 49152]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-26 13:59 266497]

"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 18:42 933888]

"nwiz"="nwiz.exe" [2004-10-29 17:50 921600 C:\WINDOWS\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]
 

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\

Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2007-01-14 13:22:46 802816]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.dvsd"= dvc.dll
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"NBJ"="D:\Programme\ahead\Nero BackItUp\NBJ.exe"
 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-24 10:48]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-26 13:59]

R2 ppsio;PrmxPPDev;C:\WINDOWS\System32\drivers\ppsio.sys [2001-11-25 12:00]

S3 DCamUSBSTK007;STK007 Camera;C:\WINDOWS\System32\DRIVERS\STK007W2.sys []
 

*Newly Created Service* - ALG

*Newly Created Service* - IPNAT

.

.

------- Zusätzlicher Scan -------

.

O8 -: Nach Microsoft &Excel exportieren - D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-07-27 13:43:36

Windows 5.1.2600 Service Pack 1 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-07-27 13:44:38

ComboFix-quarantined-files.txt  2008-07-27 11:44:33

ComboFix2.txt  2008-07-27 10:52:37
 

Pre-Run: 161,845,248 Bytes frei

Post-Run: 153,747,456 Bytes frei
 

95

und dannach habe ich dann das mit der dss.exe getan , was ich ja oben schon gepostet hatte..

LG Manuel

so..mit Malwarebytes hab ich auch was entdeckt und gelöscht---die log:

Code:

Malwarebytes' Anti-Malware 1.23

Datenbank Version: 1006

Windows 5.1.2600 Service Pack 1
 

10:32:24 29.07.2008

mbam-log-7-29-2008 (10-32-24).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 62553

Laufzeit: 37 minute(s), 16 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\rhca8gj0ea75 (Rogue.Multiple) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Lg Manuel

So...ds ergab kasperspy

Code:

-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Dienstag, 29. Juli 2008 12:52:18

 Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.1

 Letztes Update der Antiviren-Datenbanken: 29/07/2008

 Anzahl der Einträge in den Antiviren-Datenbanken: 906774

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        A:\

        C:\

        D:\

        E:\

        F:\

        G:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 26939

        Viren gefunden: 0

        Infizierte Objekte gefunden: 0

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 00:41:03
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\Mozilla\Firefox\Profiles\ulhs5gdm.default\cert8.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\Mozilla\Firefox\Profiles\ulhs5gdm.default\history.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\Mozilla\Firefox\Profiles\ulhs5gdm.default\key3.db        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\Mozilla\Firefox\Profiles\ulhs5gdm.default\parent.lock        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\Mozilla\Firefox\Profiles\ulhs5gdm.default\search.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Anwendungsdaten\Mozilla\Firefox\Profiles\ulhs5gdm.default\urlclassifier2.sqlite        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\XXX.ASDF\NTUSER.DAT.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\oakley.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\EventCache\{8C0E8F75-3A06-4F6D-A3BD-83B7CF29834C}.bin        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen

C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003760.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003761.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003762.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003763.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003764.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003765.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003766.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003767.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003768.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003769.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003770.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003771.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003772.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003773.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003774.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003775.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003776.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003777.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003778.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003779.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003780.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003781.inf        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003782.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003783.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003784.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003785.ver        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003786.ver        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003787.inf        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP16\A0003788.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003827.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003828.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003829.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003830.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003831.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003832.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003833.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003834.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003835.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003836.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003837.tsp        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003838.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003839.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003840.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003841.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003842.ver        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003843.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003844.TSP        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003845.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003846.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003847.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003848.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003849.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003850.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003851.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003852.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003853.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003854.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003855.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003856.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003857.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003858.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003859.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003860.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003861.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003862.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003863.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003864.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003865.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003866.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003867.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003868.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003869.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003870.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003871.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003872.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003873.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003874.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003875.inf        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003876.inf        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003877.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003878.ver        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP17\A0003879.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003914.ver        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003915.inf        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003916.inf        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003917.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003918.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003919.cat        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003920.exe        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003921.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003922.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003923.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003924.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003925.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003926.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003927.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003928.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003929.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003930.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003931.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003932.dll        Das Objekt ist gesperrt        übersprungen

D:\System Volume Information\_restore{7728AC2E-C432-4383-B952-27BC8029CD0C}\RP19\A0003933.cat        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

weis nicht hier shceint ja nichts erkennen zu sein (nicht mehr??) vll ist die oben aufgeführte hijack log file am meisten zu gebrauchen....also die die vor den ganzen scanns und combofixen entstanden ist....

Lg Manuel

Sieht gut aus, zur Sicherheit noch diesen Onlinescan :)

F-Secure Support-Seiten: F-Secure Online-Virenscanner

gruß

schrauber