TR/Crypt.FKM.Gen
 

Hallo zusammen,

ich hab ein riesen Problem mit meinem Computer.
Bitte verzeit mir wenn ich irgend welche angaben vergessen habe aber ich nutze ein solches Forum zum ersten mal und kenne mich mit Computern nicht wirklich gut aus.
Nun zu meinem PC ich habe Win XP als Betriebssystem mit SP2 und Anti Vir als Virenprogramm welches ich auch täglich update. Ebenfalls werden alle Win Updates ausgeführt und ich habe Firewall im Sicherheitscenter aktiviert.

Nun das Problem: Seit ein paar Tagen bekomme ich nach dem Hochfahren des PC 14 Fenster von Antivir geöffnet in dem es heisst:

Auf ihrem Computer wurde ein Virus oder unerwünschtes Programm gefunden.
C:\WINDOWS\system 32\20074358511.CPX
Ist das Trojanische Pferd TR/Crypt.FKM.Gen

Ich habe dann schon alles probiert (in Quarantäne, löschen, zugriff verweigern) werde dem Problem aber nicht Herr.:headbang:

Ebenfalls bekomme ich nachdem ich alle 14 Fenster geschlossen habe wieder das gleiche Fenster angezeigt immer wenn ich entweder den Internet Explorer oder den Arbeitsplatz etc. öffnen will.

Ach ja nach der Datei habe ich auch schon gesucht finde sie aber leider nirgens!

Kann mir vielleicht jemand mit den von mir gemachten angaben helfen wie ich das Prob wieder in den Griff bekomme?

Bei hilfe bitte ich darum es in einfach deutsch zu tun da ich von solchen Dingen echt nicht sooo viel verstehe.

Vielen Dank schonmal für eure Hilfe Gruß

Chris

Halli hallo chris79
Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  XP_ dingens.org
  Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  XP_ Firewall
  Vista_ Firewall
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Konfiguriere AntiVir danach aggressiv und update die Signaturen.
Wechsel dann in den abgesicherten Modus und führe dort einen Vollscan durch.
So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich
Lasse alle Funde in die Quarantäne verschieben, starte den Rechner im ganz normalen Modus und poste uns das log (den Bericht).

Poste bitte ebenfalls ein HJT log.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

Hallo vielen Dank für die direkte Hilfe bin jetzt am abarbeiten der secunia Geschichte. Das Programm verlangt von mir ein update vom windows auf sp3 aber du schreibst das erst weiter unten. kann ich das trotzdem jetzt schon machen. Das 2. Problem wäre die Sache mit den Hardware updates?? Wie finde ich denn die?? Habe einen Toshiba satellite Laptop aber echt keine Ahnung wie ich die Grafikkarte bzw Soundkarte usw update??
Kannst du es mir bitte kurz erklären???
Gruß Chris

Jap!

Na klaro! :)

Also eigentlich sollte bei deinem Toshiba ein Updater mit eingebaut sein...
Guck mal unter Start->Programme ob sich da was in der Richtung findet.
Wenn du nichts großartig an den Autostart Einträgen rumgespielt hast die bei Auslieferung vorhanden waren sollte er das eh alleine machen...

Hi noch mal also jetzt habe ich 2 Probleme.

1. Ich finde absolut nichts um ein update der Hardware zu machen und
2. bekomme ich einfach das service Pack 3 nicht installiert. Hab keine Ahnung warum!!!


Secunia hab ich jetzt abgearbeitet und nur noch ein veraltetes Programm ansonsten hab ich soweit alles unter kontrolle!

Was läuft falsch beim SP3 update???

1. nicht so schlimm.

Das musst du uns schon sagen.. :)
Welche Fehlermeldung kommt denn bzw. was klappt nicht?

Hallo zusammen,
so muss mich mal entschuldigen weil ich mich so lange nicht gemeldet habe aber wir waren in Urlaub.
So jetzt ist die schöne Zeit vorbei und ich sitze wieder vor dem Problem des Updates auf SP 3!

Also wenn ich es downloaden will kommt die Lizenszustimmung, zu der ich ja sage und dann kommt diese Meldung im Updateverlauf:

Installationsfehler

Fehlercode: 0x8007F0CC
Versuchen Sie, das Update nochmals zu installieren, oder rufen Sie Hilfe von einer der folgenden Ressourcen ab.

Optionen zur Selbsthilfe:

Häufig gestellte Fragen
Lösungen suchen
Windows Update-Newsgroup

Optionen für technischen Support:


Microsoft-Onlinesupportunterstützung (für Probleme mit dem Abrufen von Updates kostenlos)


Ich habe keine Ahnung warum das passiert aber es pasiert immer und ich weiß nicht wie ich es drauf bekommen soll!!

Wäre nett wenn ihr mir weiterhelfen könnt!!
Gruß Chris

Hast du evtl. deinen BootScreen also den Hintergrund beim Hochfahren verändert? Oder sonstige Tools verwendet um dein Windows besser zu designen? Das kann einen solchen Fehler auslösen..

Bischen Lesestoff der helfen könnte:
http://support.microsoft.com/kb/950717/de
http://support.microsoft.com/kb/327101/

Windows Reparatur hilft häufig: http://forum.computerbild.de/benutze...nxp_14112.html

So da hab ich es geschafft mein XP hat jetzt Service Pack 3!

Nun das nächste Problem!!!
Wie konfiguriere ich denn AntiVir aggressiv?
Und dann geht es weiter!!!

Gruß Chris

Die Anleitung habe ich doch unten verlinkt...
http://www.trojaner-board.de/54192-a...tellungen.html

So juhu das habe ich jetzt endlich mal alles geregelt bekommen und ich poste hier mal die jeweiligen Log files.

Also zuerst AntiVir:

[code]
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 30. August 2008 11:27

Es wird nach 1582788 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 00001XXXX-XXXX-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Administrator
Computername: XXXX

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 21.07.2008 18:59:46
AVSCAN.DLL : 8.1.4.0 48897 Bytes 21.07.2008 18:59:46
LUKE.DLL : 8.1.4.5 164097 Bytes 21.07.2008 18:59:50
LUKERES.DLL : 8.1.4.0 12545 Bytes 21.07.2008 18:59:51
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 17:35:18
ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 15:21:23
ANTIVIR3.VDF : 7.0.6.92 195584 Bytes 29.08.2008 15:35:54
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 14:21:10
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 23.08.2008 15:28:29
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 15:26:03
AERDL.DLL : 8.1.0.20 418165 Bytes 15.05.2008 16:49:56
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 15:26:01
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 23.08.2008 15:28:26
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 23.08.2008 15:28:22
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 20:59:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 23.08.2008 15:28:08
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 14:57:53
AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 14:57:49
AEBB.DLL : 8.1.0.1 53617 Bytes 21.07.2008 18:59:53
AVWINLL.DLL : 1.0.0.12 15105 Bytes 21.07.2008 18:59:46
AVPREF.DLL : 8.0.2.0 38657 Bytes 21.07.2008 18:59:46
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 14:57:41
AVREG.DLL : 8.0.0.1 33537 Bytes 21.07.2008 18:59:46
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 14:21:09
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 21.07.2008 18:59:45
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 14:21:09
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 21.07.2008 18:59:52
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 14:21:09
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 21.07.2008 18:59:33
RCTEXT.DLL : 8.0.52.0 86273 Bytes 21.07.2008 18:59:33

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 30. August 2008 11:27

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '73' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 30. August 2008 12:45
Benötigte Zeit: 1:18:29 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7893 Verzeichnisse wurden überprüft
273208 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
273207 Dateien ohne Befall
7266 Archive wurden durchsucht
1 Warnungen
0 Hinweise
[code]

so und jetzt HijackThis:

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:29, on 30.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: GetRight IE Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9997 bytes
[code]

So jetzt hoffe ich mal, dass das was bringt ich kann nämlich damit absolut nichts anfangen!!!

Also vielen Dank
Chris

Fixe biite noch folgende HJT Einträge:
Wenn du danach keine Probleme mehr hast dann bist du entlassen.. ;)

So Hallo also die von dir geposteten Einträge habe ich gefixt, aber das Problem besteht weiterhin es gibt keine Besserung immer noch die gleiche Meldung von Antivir beim hochfahren bzw. beim öffnen eines Programms. Ab und zu kommt die Meldung auch unwillkürlich einfach so zwischendurch. Beim Hochfahren gehen da gleich 20 Fenster oder so auf!!! Glaub fast ich hab verloren mit den Teil was?

Ach was... ;)



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Zitat:

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

heisst das, die Cd oder der USB wird auch nach dem Cobofix beendet wurde nicht mehr von alleine wiedererkannt?

Antivirensoftware zu schließen ist klar aber woher weiß ich denn ob noch andere Hintergrundwächter mitlaufen? Zählt die Firewall von Windows auch dazu??? Wenn ja wie schließe ich die denn?

Gruß Chris

Du hast ja nur AntiVir drauf. Beende den Wächter und nimm AntiVir aus dem Autostart: Start -> ausführen: msconfig -> #Enter# -> Autostart dort den Haken bei AntiVir rausnehmen und bestätigen.

nein. Erkannt werden sie natürlich trotzdem aber der Autostart, also das aufploppende Fenster mit den Auswahlmöglichkeiten wird nicht mehr automatisch gestartet. Du kannst es aber jederzeit manuell aufrufen. Diese Funktion ist imho sehr gut da sich viele Schädlinge heute unbemerkt über USB Sticks verbreiten indem sie sich in die Autorun.inf einschreiben. Hatte letztens erst einen Stick an meinem Rechner drann um meinem Kumpel was für die UNI drauf zu packen... Zum Glück hat Kaspersky schlimmeres verhindert... :balla:
AntiVir erkennt den Wurm auf seinem Rechner garnicht... :juul:

nein, die kann so bleiben wie sie ist.

Mh nächstes problem!!!
Im Tutorial steht ich soll für meine Windows version eine Widerherstellungskonsole downloaden und mit der Combofix.exe verheiraten!!
Jetzt gibt es auf der HP vonMS aber nur die Datei für XP Home incl. SP2 aber ich hab ja jetzt Service Pack 3 drauf gemacht!!!!

Kann ich ein anderes verwenden oder klappt das nicht???
What to do now?

Gruß Chris

Das sollte trotzdem klappen. Wüsste jedenfalls nicht warum nicht...

Ok hab ich versucht aber in dem Moment wo ich den Icon der Bootdisc auf den von Combofix ziehen will geht antivir wieder auf undmeldet, dass Combofix von Viren beafallen wäre und will sie in Quarantäne schicken!!!

Dann mach es aus..:rolleyes:

Ok also der Scan ist ewas anders verlaufen als im Turtorial dargestellt aber mal sehen! Dummerweise hat sich AntiVir doch nach dem Neustart von alleine wieder geöffnet und ich musste kurz mit der Maus schließen! Hier ist das log hoffe du kannst was damit anfangen!!!

[code]
ComboFix 08-09-01.03 - XXX 2008-09-02 23:20:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.XXXX.3.XXXX.1.XXXX.18.654 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXXX\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\XXXX\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator.XXXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\msacm32.drv
C:\WINDOWS\rasqervy.dll
C:\WINDOWS\sdfinacs.dll
C:\WINDOWS\sdfixwcs.dll
C:\WINDOWS\system32\20074358511.CPX
C:\WINDOWS\system32\200743585112.CPX
C:\WINDOWS\system32\200743585121.CPX
C:\WINDOWS\system32\200743585131.CPX
C:\WINDOWS\system32\200743585151.CPX
C:\WINDOWS\wuasirvy.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 ))))))))))))))))))))))))))))))
.

2008-08-28 19:19 . 2005-08-18 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\WINDOWS
2008-08-28 19:19 . 2005-08-17 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Vorlagen
2008-08-28 19:19 . 2005-08-17 15:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.XXXX\Startmen�
2008-08-28 19:19 . 2007-09-12 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Netzwerkumgebung
2008-08-28 19:19 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Lokale Einstellungen
2008-08-28 19:19 . 2005-08-24 12:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.XXXX\Favoriten
2008-08-28 19:19 . 2008-08-30 12:57 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.XXXX\Eigene Dateien
2008-08-28 19:19 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Druckumgebung
2008-08-28 19:19 . 2005-08-18 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\toshiba
2008-08-28 19:19 . 2005-08-18 12:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\Symantec
2008-08-28 19:19 . 2005-08-18 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\Sonic
2008-08-28 19:19 . 2005-08-18 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten\MSN Search Toolbar
2008-08-28 19:19 . 2005-08-24 12:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.XXXX\Anwendungsdaten
2008-08-28 19:19 . 2008-08-28 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.XXXX
2008-08-28 18:30 . 2005-08-18 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-08-28 18:30 . 2005-08-17 14:41 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-28 18:30 . 2005-08-17 15:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-08-28 18:30 . 2007-09-12 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-28 18:30 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-28 18:30 . 2005-08-24 12:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-28 18:30 . 2005-08-24 12:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-28 18:30 . 2005-08-17 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-28 18:30 . 2005-08-24 12:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-28 18:30 . 2008-08-28 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-25 21:15 . 2008-09-01 18:16 <DIR> d-------- C:\hijackthis
2008-08-24 13:39 . 2008-08-24 13:39 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-24 13:39 . 2008-08-24 13:39 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-24 13:39 . 2008-08-24 13:39 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-24 13:36 . 2008-08-24 13:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-24 13:26 . 2008-08-24 13:26 <DIR> d-------- C:\WINDOWS\EHome
2008-08-24 13:05 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-24 13:05 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-24 13:05 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-24 13:05 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-24 13:05 . 2004-08-03 22:41 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-13 20:21 . 2008-08-13 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\ElsterFormular
2008-08-13 20:21 . 2008-08-13 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-08-13 20:20 . 2008-08-13 20:20 <DIR> d-------- C:\Programme\ElsterFormular
2008-08-13 18:43 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 18:33 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-13 17:47 . 2008-08-13 17:48 <DIR> d-------- C:\Programme\QuickTime
2008-08-13 17:06 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 16:30 . 2008-08-13 16:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-08-13 15:38 . 2008-08-13 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\.SunDownloadManager
2008-08-13 14:39 . 2008-08-13 14:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-08-13 14:39 . 2008-09-01 17:22 <DIR> d-------- C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\skypePM
2008-08-13 14:39 . 2008-08-13 14:39 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-08-13 14:10 . 2008-08-13 14:10 <DIR> d-------- C:\Programme\Secunia
2008-08-08 15:41 . 2008-08-08 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 18:48 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Skype
2008-08-28 15:58 --------- d-----w C:\Programme\Wisdom-soft AutoScreenRecorder Free
2008-08-27 17:49 --------- d-----w C:\Programme\ICQ6
2008-08-14 23:05 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\GetRight
2008-08-14 12:46 --------- d-----w C:\Programme\VideoLAN
2008-08-14 09:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-13 18:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-13 17:18 --------- d-----w C:\Programme\Java
2008-08-13 14:35 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\AdobeUM
2008-07-22 12:08 --------- d-----w C:\Programme\GetRight
2008-07-22 05:44 --------- d-----w C:\Programme\Avanquest update
2008-07-20 19:41 --------- d-----w C:\Programme\IrfanView
2008-07-18 18:46 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\ICQ
2008-07-13 14:03 --------- d-----w C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Ahead
2008-07-09 20:35 --------- d-----w C:\Programme\Ahead
2008-07-09 20:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-07-09 20:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-01-05 15:38 10 ----a-w C:\Programme\.autoreg
2004-08-04 12:00 94,800 --sh--w C:\WINDOWS\twain.dll
2008-04-14 02:22 50,688 --sh--w C:\WINDOWS\twain_32.dll
2008-04-14 02:22 1,028,096 --sha-w C:\WINDOWS\system32\mfc42.dll
2008-04-14 02:22 57,344 --sha-w C:\WINDOWS\system32\msvcirt.dll
2008-04-14 02:22 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll
2008-04-14 02:22 343,040 --sha-w C:\WINDOWS\system32\msvcrt.dll
2008-04-14 02:22 551,936 --sha-w C:\WINDOWS\system32\oleaut32.dll
2008-04-14 02:22 84,992 --sha-w C:\WINDOWS\system32\olepro32.dll
2008-04-14 02:22 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-19 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-14 344064]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-15 98394]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
"THotkey"="C:\Programme\Toshiba\Toshiba Applet\thotkey.exe" [2005-07-06 356352]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"TPSMain"="TPSMain.exe" [2005-08-03 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"aux1"= 20074358511.CPX

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^XXXX^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\XXXX\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-07-21 20:59 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-07-23 14:11 21738792 C:\Programme\Skype\Phone\Skype.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"updateMgr"=C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
S3 Wdm1;USB Bridge Cable Driver;C:\WINDOWS\system32\Drivers\usbbc.sys [2001-01-08 15576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9b26220-7bd3-11dc-a37b-0013ce3f8f8f}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9b26221-7bd3-11dc-a37b-0013ce3f8f8f}]
\Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\li7iuoid.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 23:58:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\system32\MLANG.dll
-> ?:\WINDOWS\system32\MLANG.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Toshiba\ConfigFree\CFSvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-03 0:03:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-02 22:03:40

Pre-Run: 16 Verzeichnis(se), 33,272,770,560 Bytes frei
Post-Run: 20 Verzeichnis(se), 33,356,492,800 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /TUTag=GBSRNJ

224 --- E O F --- 2008-08-24 15:38:08
[code]

Gruß Chris

Ha so und wie finde ich jetzt meine externen Speichermedie wieder?

Wie? So wie sonst auch. Im Explorer über den Arebeitsplatz..

Nun solltest du noch Scans mit SuperAntiSpyware und Anti-Malware machen.

Und was ist mit dem Log???

Das ist O.k. sonst hätte ich schon was getextet. Aber poste bitte die anderen Beiden!

So leider hat es mal wieder etwas länger gedauert. Sorry!!!
Ich habe bemerkt, dass seit dem Combo fix die meldungen beim Hochfahren von Windows verschwunden sind allerdings tauchen jetzt unwillkürlich - jedoch nur manchmal - andere Meldungen von Anti Vir auf.

Mal sehen hier jetzt das Log aus SuperAntiSpyware.

[code]
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/10/2008 at 10:35 AM

Application Version : 4.21.1004

Core Rules Database Version : 3561
Trace Rules Database Version: 1549

Scan type : Complete Scan
Total Scan Time : 01:46:55

Memory items scanned : 507
Memory threats detected : 0
Registry items scanned : 6296
Registry threats detected : 0
File items scanned : 80383
File threats detected : 9

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adtech[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@webmasterplan[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adserver.71i[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@doubleclick[2].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@atwola[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@ad.net-activities[1].txt
C:\Dokumente und Einstellungen\XXX\Cookies\XXX@2o7[1].txt
[code]

Gruß Chris

Poste noch das Anti-Malware log und natürlich die AntiVir Berichte.

so und jetzt anti malware

[code]
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1136
Windows 5.1.2600 Service Pack 3

10.09.2008 11:53:52
mbam-log-2008-09-10 (11-53-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 120173
Laufzeit: 56 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
[code]

:aplaus:

du jetzt iss noch mehr drauf und ich glaube ich hab einiges geschächtet!!!
Wie mache ich denn am besten und sichersten den ganzen Rechner platt so, das ich mein XP neu aufsetzten kann und alles neu formatiert bekomme???

Gruß Chris
:snyper:

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!