Trojaner-Board - antiviruspro infektion und blauer bildschirm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - antiviruspro infektion und blauer bildschirm (https://www.trojaner-board.de/50841-antiviruspro-infektion-blauer-bildschirm.html)

Zitat:

Zitat von shira (Beitrag 330695)

viiielen dank es sieht gut aus ! der hintergrund ist endlich wieder meiner!!

Poste bitte noch den Verlauf von Combofix, auch wenn alles wieder funktioniert muss noch lange nicht alles entfernt worden sein. ;)

nun denn hoffentlich der finale test ;)

das log von combofix:

ComboFix 08-03-18.1 - Marcel 2008-03-25 21:50:24.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.316 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 20:24 . 2008-03-25 20:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes
2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-25 20:19 . 2008-03-25 20:19 269,334 --a------ C:\WINDOWS\system32\nehsbqdofqt.bmp
2008-03-25 19:44 . 2008-03-25 19:44 269,334 --a------ C:\WINDOWS\system32\qporqd.bmp
2008-03-24 14:21 . 2008-03-24 14:21 269,334 --a------ C:\WINDOWS\system32\sralkf.bmp
2008-03-24 14:03 . 2008-03-24 14:03 269,334 --a------ C:\WINDOWS\system32\gnatonid.bmp
2008-03-24 13:47 . 2008-03-24 13:47 269,334 --a------ C:\WINDOWS\system32\ehkrmhkbil.bmp
2008-03-24 13:32 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-24 13:32 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-24 13:32 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-24 13:32 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-24 13:32 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-24 13:32 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-24 13:32 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-24 13:32 . 2008-03-24 13:43 2,552 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-22 14:40 . 2008-03-22 14:40 269,334 --a------ C:\WINDOWS\system32\ehgfidcf.bmp
2008-03-22 14:35 . 2008-03-22 14:35 269,334 --a------ C:\WINDOWS\system32\hkrmdsnqlcb.bmp
2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner
2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa
2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx
2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-02 17:20 . 2008-03-25 21:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-14 11:18 --------- d-----w C:\Programme\iTunes
2008-03-14 11:18 --------- d-----w C:\Programme\iPod
2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime
2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bearshare\\BearShare.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\start.bat

.
Inhalt des "geplante Tasks" Ordners
"2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 21:51:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-25 21:51:50
ComboFix-quarantined-files.txt 2008-03-25 20:51:42
ComboFix2.txt 2008-03-25 19:17:55
ComboFix3.txt 2008-03-22 13:36:51
ComboFix4.txt 2008-03-22 12:16:03
ComboFix5.txt 2008-03-19 10:57:00
________________________________________________________

und wie siehts aus ?

hallöchen !

würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ???

dankeschön!

Zitat:

Zitat von shira (Beitrag 331044)

hallöchen !

würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ???

dankeschön!

Sorry, du bist wohl irgendwie "untergegangen" .. ;)

Ich brauche unbedingt noch die Auswertung von Malwarebytes, das hast du doch schon durchgeführt, oder?! ;)

Hier nochmal die Anleitung:

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ja genau hab ich schon durchgeführt und scheint geholfen zu haben :

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 471

Scan Art: Schnell Scan
Objekte gescannt: 26329
Scan Dauer: 3 minute(s), 23 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 35
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Unloaded process successfully.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{7afdb136-8433-46af-9d8d-42ab37cccd0f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9222ee90-928a-455e-9298-98d41f2f5ce3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c9328120-16f7-4aa3-9408-60fd5bdcc37f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d4ad2785-64dc-4c22-9c1d-62fa759ea137} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5addfe10-9b32-4489-adc3-495750b7eaf9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{07ef06d7-8ba8-4f5a-886b-84cc38fcdf5f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{10f07e10-ba78-4162-82e9-4caad2d18478} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{11df24a1-a106-4c7f-bf2c-f7d5411fe74e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2036b120-bd5d-4e50-b82f-d4d6d522f68e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{215f19fd-a509-4e03-958e-ea3b3f9b2ff9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{280c7289-8caf-446a-98fe-c0f9217cee1e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2dd00c35-ae7f-4b96-912d-1a991b66f363} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2fa9e9a6-5956-4977-9bef-a067b996f96f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{305dbf41-6179-4d97-87a8-bb23b0ff74fe} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3e755986-4cd0-4cfe-bfa5-23cdfd354288} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4463934e-005b-4b73-8881-9e58603b2dcb} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4f8252da-ddbd-4e3f-a84d-6d4ef8bacd4e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4fdbc56b-873e-4663-ae52-0a60f2bf2053} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{58da7d32-ce59-4e58-9b6e-295ed4986dd3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5e6ae9e1-1495-4ade-b94c-9416458f75b7} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6788fa7b-f9fb-4d97-a631-11171519ec47} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{68579fa8-3b04-49c1-9cc7-6f36f71e17dc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9f18caba-442d-4ab9-82f7-db4c7a93dc3c} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{afe2f1ad-488f-4845-8707-76b31e6aa7ff} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bfe95ca1-4501-48e3-813d-ff5cbc335d0d} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c6b25ff9-9788-4377-840f-e6990f990b56} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd959f6a-3083-42cd-8b9a-e5a79897f071} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d0da99db-1661-464d-ad36-52f0d03b959f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d2bed334-77e8-47fe-b68c-ff7179114ee4} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d4b336b9-03d5-47df-984d-1135d4a10999} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{db29e08e-bc52-40a7-8099-0935d7dbee63} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e359a09a-6e50-4e21-8079-329efa21db86} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f14759bd-36b5-4c42-9451-00db471ab5c2} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fff85aa2-8c3e-43f5-934b-31eeab0258bc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ada69949-6704-425c-808e-cf86f5666aba} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BluetoothAuthorizationAgent (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

vielen dank fürs drüberschauen !!

Es ist für dich leider noch nicht beendet: :o

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

hey also hier die 2 logs von deckard :

Code:

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------
 

-- System Information ----------------------------------------------------------
 

Microsoft Windows XP Professional (build 2600) SP 2.0

Architecture: X86; Language: German
 

CPU 0: Intel(R) Pentium(R) M processor 1.60GHz

Percentage of Memory in Use: 40%

Physical Memory (total/avail): 510.98 MiB / 302.05 MiB

Pagefile Memory (total/avail): 1249.48 MiB / 1019.97 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1937.69 MiB
 

C: is Fixed (NTFS) - 74.52 GiB total, 44.86 GiB free. 

D: is CDROM (CDFS)
 

\\.\PHYSICALDRIVE0 - TOSHIBA MK8032GAX - 74.53 GiB - 1 partition

  \PARTITION0 (bootable) - Installierbares Dateisystem - 74.52 GiB - C:
 
 
 

-- Security Center -------------------------------------------------------------
 

Windows Internal Firewall is disabled.
 

FirstRunDisabled is set.
 

AV: Avira AntiVir PersonalEdition v 7.0.3.83

 (Avira GmbH)
 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Programme\\Bearshare\\BearShare.exe"="C:\\Programme\\Bearshare\\BearShare.exe:*:Enabled:BearShare"

"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
 
 

-- Environment Variables -------------------------------------------------------
 

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users

APPDATA=C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten

CLASSPATH=.;C:\Programme\QuickTime\QTSystem\QTJava.zip

CLIENTNAME=Console

CommonProgramFiles=C:\Programme\Gemeinsame Dateien

COMPUTERNAME=CHRISTINA

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Dokumente und Einstellungen\Marcel

LOGONSERVER=\\CHRISTINA

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 6, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0d06

ProgramFiles=C:\Programme

PROMPT=$P$G

QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp

TMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp

USERDOMAIN=CHRISTINA

USERNAME=Marcel

USERPROFILE=C:\Dokumente und Einstellungen\Marcel

windir=C:\WINDOWS
 
 

-- User Profiles ---------------------------------------------------------------
 

Marcel (admin)
 
 

-- Add/Remove Programs ---------------------------------------------------------
 

 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAD400A0-F924-4BB6-9651-CD45642B3917}\SETUP.EXE" -l0x9 anything

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Actiontec MDC AC'97 Modem v2122D --> agrsmdel

Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}

Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}

Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}

ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe

ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 

ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean

ATK0100 ACPI UTILITY --> C:\WINDOWS\ATK0100\XPunin.exe

Avira AntiVir PersonalEdition Classic --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

AviSynth 2.5 --> "C:\Programme\AviSynth 2.5\Uninstall.exe"

BearShare --> C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG

CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"

EMEA02 --> MsiExec.exe /X{949460AD-3C77-44FD-8D78-BF605EF28114}

Free Video to iPod Converter version 2.4 --> "C:\Programme\Free Video to iPod Converter\unins000.exe"

HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall

HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}

HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}

HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot

hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}

HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}

iDump Build: 24 --> C:\Programme\iDump\uninst.exe

iPod for Windows 2006-01-10 --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{3D047C15-C859-45F7-81CE-F2681778069B} /l1031 

iTunes --> MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138}

Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}

PhotoBookWorld 1.2 --> C:\Programme\PhotoBookWorld\unins000.exe

QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}

RTLSetup for Realtek RTL8139/810x Family NIC 3.00 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\SETUP.EXE" -l0x9 REMOVE

SAMSUNG CDMA Modem Driver Set --> C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe

SAMSUNG Mobile USB Modem ^^ --> C:\WINDOWS\system32\Samsung_USB_Drivers\4\SSVDUninstall.exe

SAMSUNG Mobile USB Modem 1.0 Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe

SAMSUNG Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe

Samsung PC Studio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7  -removeonly

Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7  -removeonly

Synaptics TouchPad --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
 
 

-- Application Event Log -------------------------------------------------------
 

Event Record #/Type1427 / Warning

Event Submitted/Written: 03/27/2008 05:47:04 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe

verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!
 

Event Record #/Type1398 / Warning

Event Submitted/Written: 03/25/2008 08:28:26 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe

verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!
 

Event Record #/Type1395 / Warning

Event Submitted/Written: 03/25/2008 08:21:32 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe

verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!
 

Event Record #/Type1263 / Error

Event Submitted/Written: 03/18/2008 08:51:36 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 

Event Record #/Type1262 / Error

Event Submitted/Written: 03/18/2008 08:32:42 PM / 03/18/2008 08:32:43 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
 
 

-- Security Event Log ----------------------------------------------------------
 

No Errors/Warnings found.
 
 

-- System Event Log ------------------------------------------------------------
 

Event Record #/Type10550 / Warning

Event Submitted/Written: 03/27/2008 02:33:14 PM

Event ID/Source: 8021 / BROWSER

Event Description:

Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\MAXLAPTOP" auf dem Netzwerk "\Device\NetBT_Tcpip_{5CE1059E-6444-4A10-BBDA-5F48380D568C}" erhalten.

Daten: Fehlercode.
 

Event Record #/Type10439 / Warning

Event Submitted/Written: 03/25/2008 08:34:17 PM

Event ID/Source: 3019 / MRxSmb

Event Description:

Der Redirectordienst konnte den Verbindungstyp nicht erkennen.
 

Event Record #/Type10438 / Warning

Event Submitted/Written: 03/25/2008 08:33:33 PM

Event ID/Source: 3019 / MRxSmb

Event Description:

Der Redirectordienst konnte den Verbindungstyp nicht erkennen.
 

Event Record #/Type10335 / Error

Event Submitted/Written: 03/25/2008 08:18:56 PM

Event ID/Source: 10005 / DCOM

Event Description:

Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""

gestartet wurde, um den folgenden Server zu verwenden:

{1BE1F766-5536-11D1-B726-00C04FB926AF}
 

Event Record #/Type10334 / Error

Event Submitted/Written: 03/25/2008 08:18:28 PM

Event ID/Source: 10005 / DCOM

Event Description:

Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten ""

gestartet wurde, um den folgenden Server zu verwenden:

{A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
 
 

-- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------
 

_____________________________________________________________
 

Deckard's System Scanner v20071014.68

Run by Marcel on 2008-03-27 17:49:36

Computer is in Normal Mode.

--------------------------------------------------------------------------------
 

-- System Restore --------------------------------------------------------------
 

Successfully created a Deckard's System Scanner Restore Point.
 
 

-- Last 5 Restore Point(s) --

75: 2008-03-27 16:49:43 UTC - RP145 - Deckard's System Scanner Restore Point

74: 2008-03-27 13:47:05 UTC - RP144 - Systemprüfpunkt

73: 2008-03-25 19:04:54 UTC - RP143 - Systemprüfpunkt

72: 2008-03-24 13:41:07 UTC - RP142 - Systemprüfpunkt

71: 2008-03-22 13:32:45 UTC - RP141 - ComboFix created restore point
 
 

-- First Restore Point -- 

1: 2007-12-28 20:17:17 UTC - RP71 - Systemprüfpunkt
 
 

Backed up registry hives.

Performed disk cleanup.
 
 Total Physical Memory: 511 MiB (512 MiB recommended).
 
 

-- HijackThis (run as Marcel.exe) ----------------------------------------------
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:50:04, on 27.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\ATK0100\Hcontrol.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Marcel\Desktop\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\Marcel.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 4940 bytes
 

-- File Associations -----------------------------------------------------------
 

All associations okay.
 
 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
 

R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS>
 

S3 catchme - c:\dokume~1\marcel\lokale~1\temp\catchme.sys (file missing)
 
 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
 

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
 
 

-- Device Manager: Disabled ----------------------------------------------------
 

No disabled devices found.
 
 

-- Scheduled Tasks -------------------------------------------------------------
 

2008-03-06 18:21:04       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

2008-01-07 13:00:24       336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job
 
 

-- Files created between 2008-02-27 and 2008-03-27 -----------------------------
 

2008-03-25 20:24:18         0 d-------- C:\Programme\Malwarebytes' Anti-Malware

2008-03-24 13:32:54      2552 --a------ C:\WINDOWS\system32\tmp.reg

2008-03-24 13:32:33     25600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-03-24 13:32:33    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >

2008-03-24 13:32:33     86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>

2008-03-24 13:32:33    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>

2008-03-24 13:32:33     53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>

2008-03-24 13:32:33     82432 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>

2008-03-24 13:32:33     51200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-03-22 13:12:48         0 dr-h----- C:\Dokumente und Einstellungen\Marcel\Recent

2008-03-22 13:10:58         0 d-------- C:\Programme\CCleaner

2008-03-21 18:25:07         0 d-------- C:\Programme\antivirus-kaspa

2008-03-21 16:37:08         0 d-------- C:\Programme\Trend Micro

2008-03-19 11:52:35     68096 --a------ C:\WINDOWS\system32\zip.exe

2008-03-19 11:52:35     98816 --a------ C:\WINDOWS\system32\sed.exe

2008-03-19 11:52:35     80412 --a------ C:\WINDOWS\system32\grep.exe

2008-03-19 11:52:35     73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\zts2.exe

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\iifgfgf.dll

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\rundll16.exe

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\rundl132.dll

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\logo1_.exe

2008-03-19 10:32:49         0 d-------- C:\WINDOWS\ERUNT

2008-03-18 23:00:12         0 d-------- C:\Programme\Avira
 
 

-- Find3M Report ---------------------------------------------------------------
 

2008-03-25 20:24:28         0 d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes

2008-03-14 12:18:42         0 d-------- C:\Programme\iTunes

2008-03-14 12:18:30         0 d-------- C:\Programme\iPod

2008-03-02 17:18:17         0 d-------- C:\Programme\QuickTime

2008-02-07 16:19:38         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
 
 

-- Registry Dump ---------------------------------------------------------------
 

*Note* empty entries & legit default entries are not shown
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIModeChange"="Ati2mdxx.exe" [24.02.2004 18:08 C:\WINDOWS\system32\Ati2mdxx.exe]

"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [03.02.2004 20:10]

"AGRSMMSG"="AGRSMMSG.exe" [10.06.2003 03:37 C:\WINDOWS\AGRSMMSG.exe]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [17.06.2003 02:40]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [17.06.2003 02:40]

"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [08.09.2003 15:02]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [31.01.2008 23:13]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [19.02.2008 13:10]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [18.03.2008 23:01]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [31.12.2002 13:00]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [04.08.2004 00:11]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 00:17:18]

hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 00:06:58]

Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 00:01:04]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

AutoRun\command- D:\start.bat
 
 
 
 

-- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------

und wie siehts jetzt aus? endlich weg ?

vielen vielen dank für die ganze mühe mit mir !!

Zitat:

Zitat von shira (Beitrag 331061)

und wie siehts jetzt aus? endlich weg ?

Ich hoffe es für dich, bislang habe ich nur einen Eintrag zu einem Trojaner finden können, welcher wiederum nicht mehr aktiv ist. (bzw. sein sollte!)

Das ist das letzte Programm für dich, danach ist hoffentlich alles gefunden und gelöscht:

Anleitung durchlesen und abarbeiten -> UnHackMe - Rootkits finden

Und noch was... :)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

d:\start.bat

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

hi sunny

hab unhack me durchgeführt und datei überprüfen lassen:

Code:



Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.3.26.0 2008.03.27 - 

AntiVir 7.6.0.75 2008.03.27 - 

Authentium 4.93.8 2008.03.27 - 

Avast 4.7.1098.0 2008.03.27 - 

AVG 7.5.0.516 2008.03.27 - 

BitDefender 7.2 2008.03.27 - 

CAT-QuickHeal 9.50 2008.03.26 - 

ClamAV 0.92.1 2008.03.27 - 

DrWeb 4.44.0.09170 2008.03.27 - 

eSafe 7.0.15.0 2008.03.18 - 

eTrust-Vet 31.3.5648 2008.03.27 - 

Ewido 4.0 2008.03.27 - 

F-Prot 4.4.2.54 2008.03.27 - 

F-Secure 6.70.13260.0 2008.03.27 - 

FileAdvisor 1 2008.03.27 - 

Fortinet 3.14.0.0 2008.03.27 - 

Ikarus T3.1.1.20 2008.03.27 - 

Kaspersky 7.0.0.125 2008.03.27 - 

McAfee 5261 2008.03.27 - 

Microsoft 1.3301 2008.03.27 - 

NOD32v2 2978 2008.03.27 - 

Norman 5.80.02 2008.03.26 - 

Panda 9.0.0.4 2008.03.26 - 

Prevx1 V2 2008.03.27 - 

Rising 20.37.32.00 2008.03.27 - 

Sophos 4.27.0 2008.03.27 - 

Sunbelt 3.0.978.0 2008.03.18 - 

Symantec 10 2008.03.27 - 

TheHacker 6.2.92.256 2008.03.27 - 

VBA32 3.12.6.3 2008.03.25 - 

VirusBuster 4.3.26:9 2008.03.27 - 

Webwasher-Gateway 6.6.2 2008.03.27 - 

weitere Informationen 

File size: 16 bytes 

MD5: 9d164df185f9af0114e201bdf100d641 

SHA1: aa5aeeebfaca73f9abe08f624604ca4b952cff04 

PEiD: -

Zitat:

Zitat von shira (Beitrag 331092)

hi sunny

hab unhack me durchgeführt und datei überprüfen lassen:

Hat das Programm denn irgendwas gefunden? Irgendwelche "hidden files"?

ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found.

wars das nun?

lg

Zitat:

Zitat von shira (Beitrag 331102)

ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found.

wars das nun?

lg

Es gibt noch einige Überreste von Antiviruspro, ich hoffe das ich sie auf diese Art löschen kann:

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\nehsbqdofqt.bmp
C:\WINDOWS\system32\qporqd.bmp
C:\WINDOWS\system32\sralkf.bmp
C:\WINDOWS\system32\gnatonid.bmp
C:\WINDOWS\system32\ehkrmhkbil.bmp
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ehgfidcf.bmp
C:\WINDOWS\system32\hkrmdsnqlcb.bmp

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

hm der virus ist ja echt hartnäckig !

hier der bericht :

C:\WINDOWS\system32\nehsbqdofqt.bmp moved successfully.
C:\WINDOWS\system32\qporqd.bmp moved successfully.
C:\WINDOWS\system32\sralkf.bmp moved successfully.
C:\WINDOWS\system32\gnatonid.bmp moved successfully.
C:\WINDOWS\system32\ehkrmhkbil.bmp moved successfully.
C:\WINDOWS\system32\tmp.reg moved successfully.
C:\WINDOWS\system32\ehgfidcf.bmp moved successfully.
C:\WINDOWS\system32\hkrmdsnqlcb.bmp moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_192231
___________________________________

nu alles weg ?

Zitat:

Zitat von shira (Beitrag 331112)

nu alles weg ?

"Nu" sollte alles weg sein ... :daumenhoc :)