Abstürze des PC's in unregelmäßigen Abständen.

von **DaMudda** am 23.09.2005, 13:59

Hallo Leute,

ich habe mich hier registrieren lassen, in der Hoffnung, dass mir jemand helfen kann.

Nun zu meinem Problem:

Mein PC stürzt des öfteren ab. Ich habe AntiVir (im abgesicherten Modus), Spybot und Ad-Aware SE Personal laufen lassen, jedoch ohne Erfolg.

Meine Vermutung:

Es mag Zufall sein oder auch nicht, aber wenn ich Musik höre (Windows Media Player) scheint der PC öfter abzustürzen (mit der Soundkarte scheint jedoch alles in Ordnung zu sein).

Außerdem treten diese Probleme auf, seitdem ich folgenden Eintrag im Systemstart habe "%systemroot%\system32\dumprep 0 -k"

Keine Ahnung ob das zur Sache beiträgt?

Hier nun mein LOG File:

Logfile of HijackThis v1.99.1
Scan saved at 13:46:30, on 23.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SP2 Connection Patcher] "C:\Programme\SP2 Connection Patcher\SP2ConnPatcher.exe" -n=200
O4 - Startup: t-online.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1764197781
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D74352E7-3854-4114-ACB1-582E2A4D512E}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

von **Nikita** am 23.09.2005, 14:06

Hallo@

der PC ist voellig verseucht, das zum einen, wobei ich einen Hard/Softwarefehler nicht ausschliessen kann, wegen der Abstuerze.

Du solltest formatieren, oder willst du reinigen?

von **DaMudda** am 23.09.2005, 14:18

Hallo und danke für die schnelle Antwort.

Schade, das hört man ungern, dass der PC verseucht ist. Formatieren wäre natürlich die gründlichste Art, aber ich müsste daraufhin soviel installieren und einstellen. Eigentlich wollte ich mir diese Qual ersparen und wenn möglichst, reinigen.

Einen Hardwarefehler schliesse ich eigentlich aus. Es kann doch sein, dass die Abstürze durch Viren zu Stande kommen oder?

Gruß, Coskane

von **Nikita** am 23.09.2005, 16:05

nun, du hast den Backdoor drauf:
http://www.sophos.de/virusinfo/analyses ... oorhu.html

und viele andere Viren, welche die Startseite verstellen.

willst du immer noch reinigen?

poste mir alle4 Logs (+ Pfadangabe)
http://nikita.eddys-domain.de/datfindbat.html

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

mousehs

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

von **DaMudda** am 23.09.2005, 17:26

Hey super das du dir die Zeit nimmst. Wirklich.

Ich frage mich nur, ob jemand anhand der Daten, die ich hier reinposte, nicht noch leichter Zugriff auf meinen PC haben könnte?

Aber ist ja sowieso einiges im Eimer :lol:

OK hier sind nun die 4 Logs + Pfadangabe (ich habe 20 verschiedene Tage kopiert, oder sollte ich einfach 20 Tage untereinander kopieren):

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48F7-2716

Verzeichnis von C:\WINDOWS\system32

22.09.2005 19:40 16.420 BMXStateBkp-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
22.09.2005 19:40 24.672 BMXBkpCtrlState-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
22.09.2005 19:40 24.672 BMXCtrlState-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
22.09.2005 19:40 16.420 BMXState-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
22.09.2005 19:40 1.080 settings.sfm
22.09.2005 19:40 1.080 settingsbkup.sfm
22.09.2005 19:40 24 DVCState-{00000002-00000000-00000008-00001102-00000002-80401102}.dat
22.09.2005 19:40 24 DVCStateBkp-{00000002-00000000-00000008-00001102-00000002-80401102}.dat
22.09.2005 16:35 0 nvapps.xml
19.09.2005 14:55 23.392 nscompat.tlb
19.09.2005 14:55 16.832 amcompat.tlb
19.09.2005 14:52 2.206 wpa.dbl
29.08.2005 13:27 520.968 LegitCheckControl.DLL
14.08.2005 10:44 311.604 perfh009.dat
14.08.2005 10:44 39.992 perfc009.dat
14.08.2005 10:44 48.156 perfc007.dat
14.08.2005 10:44 316.594 perfh007.dat
14.08.2005 10:44 723.744 PerfStringBackup.INI
28.07.2005 14:52 91.856 S32EVNT1.DLL
13.06.2005 15:04 251 spupdwxp.log
13.06.2005 15:03 528.096 FNTCACHE.DAT
09.06.2005 22:32 692.736 DivX.dll
29.05.2005 01:35 692.224 divxdec.ax
24.05.2005 23:32 10.775 dsm_ja.qm
24.05.2005 23:32 15.153 dsm_fr.qm
24.05.2005 23:32 15.351 dsm_de.qm
24.05.2005 23:32 4.276 divxsm.tlb
24.05.2005 23:32 524.288 DivXsm.exe
22.05.2005 19:19 81 c.bat
22.05.2005 19:18 64 .pif
20.05.2005 20:25 3.136 dtu_de.qm
18.05.2005 23:40 200.704 dtu100.dll
12.05.2005 00:34 323.584 nvwrsit.dll
12.05.2005 00:34 393.216 keystone.exe
12.05.2005 00:34 315.392 nvwrshu.dll
12.05.2005 00:34 278.528 nvwrshe.dll
12.05.2005 00:34 327.680 nvwrsfr.dll
12.05.2005 00:34 303.104 nvwrsfi.dll
12.05.2005 00:34 327.680 nvwrsesm.dll
12.05.2005 00:34 212.992 nvwrsja.dll
12.05.2005 00:34 200.704 nvwrsko.dll
12.05.2005 00:34 319.488 nvwrsnl.dll
12.05.2005 00:34 335.872 nvwrses.dll
12.05.2005 00:34 286.720 nvwrseng.dll
12.05.2005 00:34 335.872 nvwrsel.dll
12.05.2005 00:34 311.296 nvwrsde.dll
12.05.2005 00:34 294.912 nvwrsda.dll
12.05.2005 00:34 286.720 nvwrscs.dll
12.05.2005 00:34 282.624 nvwrsar.dll
12.05.2005 00:34 1.019.904 nvwimg.dll
12.05.2005 00:34 1.662.976 nvwdmcpl.dll
12.05.2005 00:34 299.008 nvwrsno.dll
12.05.2005 00:34 176.128 nvusmb.exe
12.05.2005 00:34 176.128 NVUNINST.EXE
12.05.2005 00:34 176.128 nvuide.exe
12.05.2005 00:34 176.128 nvugart.exe
12.05.2005 00:34 176.128 nvuenet.exe
12.05.2005 00:34 176.128 nvudisp.exe
12.05.2005 00:34 73.728 nvtuicpl.cpl
12.05.2005 00:34 127.042 nvsvc32.exe
12.05.2005 00:34 466.944 nvshell.dll
12.05.2005 00:34 114.688 nvrszht.dll
12.05.2005 00:34 212.992 nvrszhc.dll
12.05.2005 00:34 245.760 nvrstr.dll
12.05.2005 00:34 241.664 nvrssv.dll
12.05.2005 00:34 241.664 nvrssl.dll
12.05.2005 00:34 245.760 nvrssk.dll
12.05.2005 00:34 258.048 nvrsru.dll
12.05.2005 00:34 253.952 nvrsptb.dll
12.05.2005 00:34 294.912 nvwrspl.dll
12.05.2005 00:34 258.048 nvrspt.dll
12.05.2005 00:34 241.664 nvrspl.dll
12.05.2005 00:34 241.664 nvrsno.dll
12.05.2005 00:34 262.144 nvrsnl.dll
12.05.2005 00:34 323.584 nvwrspt.dll
12.05.2005 00:34 319.488 nvwrsptb.dll
12.05.2005 00:34 249.856 nvrsko.dll
12.05.2005 00:34 253.952 nvrsja.dll
12.05.2005 00:34 315.392 nvwrsru.dll
12.05.2005 00:34 299.008 nvwrssk.dll
12.05.2005 00:34 266.240 nvrsit.dll
12.05.2005 00:34 245.760 nvrshu.dll
12.05.2005 00:34 311.296 nvrshe.dll
12.05.2005 00:34 270.336 nvrsfr.dll
12.05.2005 00:34 233.472 nvrsfi.dll
12.05.2005 00:34 262.144 nvrsesm.dll
12.05.2005 00:34 303.104 nvwrssl.dll
12.05.2005 00:34 270.336 nvrses.dll
12.05.2005 00:34 233.472 nvrseng.dll
12.05.2005 00:34 3.879.808 nv4_disp.dll
12.05.2005 00:34 442.368 nvappbar.exe
12.05.2005 00:34 22.590 nvapps.nvb
12.05.2005 00:34 294.912 nvwrssv.dll
12.05.2005 00:34 32.768 nvcod.dll
12.05.2005 00:34 270.336 nvrsel.dll
12.05.2005 00:34 266.240 nvrsde.dll
12.05.2005 00:34 241.664 nvrsda.dll
12.05.2005 00:34 303.104 nvwrstr.dll
12.05.2005 00:34 167.936 nvwrszhc.dll
12.05.2005 00:34 172.032 nvwrszht.dll
12.05.2005 00:34 1.519.616 nwiz.exe
12.05.2005 00:34 81.920 nvwddi.dll
12.05.2005 00:34 32.768 nvcodins.dll
12.05.2005 00:34 147.456 nvcolor.exe
12.05.2005 00:34 6.729.728 nvcpl.dll
12.05.2005 00:34 14.757 nvdisp.nvu
12.05.2005 00:34 233.472 nvrscs.dll
12.05.2005 00:34 1.339.392 nvdspsch.exe
12.05.2005 00:34 540.672 nvhwvid.dll
12.05.2005 00:34 1.462.272 nview.dll
12.05.2005 00:34 86.016 nvmctray.dll
12.05.2005 00:34 286.720 nvnt4cpl.dll
12.05.2005 00:34 5.132.288 nvoglnt.dll
12.05.2005 00:34 315.392 nvrsar.dll
05.05.2005 03:12 671.744 divx_xx11.dll
05.05.2005 03:12 688.128 divx_xx0c.dll
05.05.2005 03:12 688.128 divx_xx07.dll
28.04.2005 06:22 3.596.288 qt-dx331.dll
28.04.2005 06:22 57.344 dpv11.dll
28.04.2005 06:22 303.104 dpus11.dll
28.04.2005 06:22 581.632 dpuGUI11.dll
28.04.2005 06:22 8.523 dpude.qm
28.04.2005 06:22 245.760 dpu11.dll
28.04.2005 06:22 86.016 dpl100.dll
28.04.2005 06:22 245.408 unicows.dll
28.04.2005 06:22 159.744 ssleay32.dll
28.04.2005 06:22 831.488 libeay32.dll
05.04.2005 11:17 517.848 SymNeti.dll
05.04.2005 11:17 132.824 SymRedir.dll
18.03.2005 17:19 2.337.488 d3dx9_25.dll
14.03.2005 23:18 2.957 jupdate-1.5.0_01-b08.log
13.03.2005 00:16 0 TFTP3404
13.03.2005 00:15 0 ftpupd.exe
13.03.2005 00:14 0 msnsched.exe
01.03.2005 22:41 131 fhrpath.txt
01.03.2005 22:32 5.242 sysfhr.dat
01.03.2005 22:32 639.997 sysfhr.sys
14.02.2005 14:59 0 paydial.exe
14.02.2005 14:59 0 systime.exe
14.02.2005 14:58 0 dktibs.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48F7-2716

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

23.09.2005 14:04 16.384 ~DF52E3.tmp
23.09.2005 13:46 7.180 hijackthis.log
22.09.2005 18:54 2.589 fnd03ce134.class
21.09.2005 22:06 10.538 control.xml
21.09.2005 15:20 490.589 0007754D.dmp
21.09.2005 11:14 45.096 _VWUPSRV.EXE
19.09.2005 14:33 16.384 Perflib_Perfdata_fbc.dat
18.09.2005 15:11 3 Twain001.Mtx
18.09.2005 15:11 46.080 ~e5d141.tmp
18.09.2005 14:55 512 ~DF68CE.tmp
18.09.2005 14:55 16.384 ~DF68C0.tmp
17.09.2005 18:22 21.122 TFR141.tmp
17.09.2005 18:22 23.427 TFR140.tmp
17.09.2005 18:22 71.682 TFR13B.tmp
17.09.2005 18:22 10.225 TFR138.tmp
17.09.2005 18:22 35.574 TFR137.tmp
17.09.2005 18:22 32.204 TFR135.tmp
17.09.2005 18:22 27.777 TFR134.tmp
17.09.2005 18:22 67.994 TFR133.tmp
16.09.2005 22:41 23.427 TFR14B.tmp
16.09.2005 22:41 67.560 TFR148.tmp
16.09.2005 22:41 56.657 TFR146.tmp
16.09.2005 22:41 46.660 TFR142.tmp
16.09.2005 22:41 20.560 TFR13E.tmp
16.09.2005 22:41 67.994 TFR13A.tmp
16.09.2005 22:41 46.021 TFR139.tmp
16.09.2005 22:27 71.682 TFR127.tmp
16.09.2005 22:27 10.225 TFR125.tmp
16.09.2005 22:27 35.574 TFR124.tmp
16.09.2005 22:27 32.204 TFR121.tmp
16.09.2005 22:27 27.777 TFR11F.tmp
16.09.2005 22:27 59.218 TFR11E.tmp
16.09.2005 22:27 40.950 TFR112.tmp
16.09.2005 22:27 21.122 TFR111.tmp
13.09.2005 14:49 93.752 MSI1cf71.LOG
13.09.2005 14:49 93.752 MSI1cf70.LOG
13.09.2005 14:44 93.752 MSIaf300.LOG
10.09.2005 13:17 73.728 ~19.tmp
03.09.2005 18:45 16.384 Perflib_Perfdata_c30.dat
03.09.2005 18:35 67.994 TFR6C.tmp
03.09.2005 18:35 46.021 TFR6A.tmp
03.09.2005 18:35 35.574 TFR4D.tmp
03.09.2005 18:35 27.777 TFR46.tmp
03.09.2005 18:35 23.427 TFR40.tmp
01.09.2005 19:05 67.560 TFR3D.tmp
01.09.2005 19:05 21.122 TFR3B.tmp
01.09.2005 19:05 71.682 TFR33.tmp
01.09.2005 19:05 10.225 TFR31.tmp
01.09.2005 19:05 35.574 TFR2F.tmp
01.09.2005 19:05 32.204 TFR2D.tmp
01.09.2005 19:05 27.777 TFR29.tmp
29.08.2005 11:19 10.225 TFR69.tmp
20.08.2005 23:51 67.560 TFR11A.tmp
20.08.2005 23:51 56.657 TFR118.tmp
20.08.2005 23:51 46.660 TFR116.tmp
20.08.2005 23:51 46.021 TFR10F.tmp
20.08.2005 21:24 71.682 TFR39.tmp
20.08.2005 21:24 10.225 TFR35.tmp
20.08.2005 21:24 35.574 TFR34.tmp
20.08.2005 21:24 32.204 TFR32.tmp
20.08.2005 21:24 27.777 TFR2B.tmp
20.08.2005 21:24 59.218 TFR2A.tmp
20.08.2005 21:24 40.950 TFR25.tmp
20.08.2005 21:24 21.122 TFR1F.tmp
19.08.2005 21:13 59.218 TFR47.tmp
19.08.2005 09:49 10.225 TFR1B.tmp
17.08.2005 13:42 10.225 TFR68.tmp
16.08.2005 12:46 71.682 TFR115.tmp
16.08.2005 12:46 35.574 TFR113.tmp
16.08.2005 12:46 32.204 TFR110.tmp
16.08.2005 11:09 23.427 TFR67.tmp
14.08.2005 14:12 93.752 MSIb60a3.LOG
14.08.2005 13:33 69.632 ~24.tmp
13.08.2005 20:23 107.512 Set75.tmp
13.08.2005 20:05 69.632 ~5F.tmp
13.08.2005 19:39 69.632 ~5D.tmp
13.08.2005 19:25 34.816 ec44.mst
13.08.2005 19:25 34.816 43bc36.mst
13.08.2005 19:25 34.816 14968.mst
12.08.2005 19:34 96.205 TFR66.tmp
12.08.2005 19:32 46.660 TFR45.tmp
12.08.2005 19:32 40.950 TFR3F.tmp
12.08.2005 19:32 67.994 TFR3C.tmp
12.08.2005 19:32 46.021 TFR3A.tmp
12.08.2005 19:32 21.122 TFR2E.tmp
12.08.2005 19:32 71.682 TFR2C.tmp
12.08.2005 19:32 10.225 TFR28.tmp
12.08.2005 19:32 35.574 TFR27.tmp
12.08.2005 19:32 32.204 TFR24.tmp
12.08.2005 19:32 27.777 TFR20.tmp
12.08.2005 19:32 59.218 TFR1E.tmp
12.08.2005 19:32 23.427 TFR1A.tmp
12.08.2005 19:31 77.679 TFRC.tmp
08.08.2005 21:11 67.560 TFR26.tmp
08.08.2005 21:11 21.122 TFR23.tmp
08.08.2005 21:11 23.427 TFR22.tmp
08.08.2005 21:11 71.682 TFR21.tmp
08.08.2005 21:11 35.574 TFR1D.tmp
08.08.2005 21:11 32.204 TFR17.tmp
08.08.2005 21:11 27.777 TFR12.tmp
08.08.2005 21:11 10.225 TFRA.tmp
06.08.2005 21:22 61.440 ~8E.tmp
06.08.2005 20:54 61.440 ~8C.tmp
03.08.2005 10:40 10.225 TFR62.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48F7-2716

Verzeichnis von C:\WINDOWS

23.09.2005 17:12 337.340 WindowsUpdate.log
23.09.2005 17:06 0 0.log
23.09.2005 17:06 2.048 bootstat.dat
23.09.2005 12:15 1.086.120 ntbtlog.txt
22.09.2005 19:40 32.566 SchedLgU.Txt
22.09.2005 18:43 227 system.ini
22.09.2005 18:43 658 win.ini
22.09.2005 18:12 184.491 setupact.log
21.09.2005 23:33 50 wiaservc.log
21.09.2005 23:33 216 wiadebug.log
21.09.2005 23:06 49 NeroDigital.ini
21.09.2005 22:06 129.719 wmsetup.log
19.09.2005 14:55 930.199 setupapi.log
19.09.2005 14:55 242 wmsetup10.log
19.09.2005 14:54 316.640 WMSysPr9.prx
18.09.2005 15:21 373.248 EyeCand3.INI
15.09.2005 15:35 3.373.917 {00000002-00000000-00000008-00001102-00000002-80401102}.BAK
15.09.2005 15:35 3.373.917 {00000002-00000000-00000008-00001102-00000002-80401102}.CDF
12.09.2005 14:14 90.112 DUMP4381.tmp
13.08.2005 15:27 12.672 SYMEVENT.LOG
21.06.2005 15:25 15.250 ntdtcsetup.log
21.06.2005 15:25 109.604 iis6.log
21.06.2005 15:25 1.374 imsins.log
21.06.2005 15:25 5.164 KB887472.log
21.06.2005 15:25 26.845 tsoc.log
21.06.2005 15:25 26.245 comsetup.log
21.06.2005 15:25 3.026 tabletoc.log
21.06.2005 15:25 2.846 ocmsn.log
21.06.2005 15:25 8.200 netfxocm.log
21.06.2005 15:25 38.760 ocgen.log
21.06.2005 15:25 2.672 msgsocm.log
21.06.2005 15:25 4.168 medctroc.Log
21.06.2005 15:25 41.120 FaxSetup.log
21.06.2005 15:25 25.108 msmqinst.log
13.06.2005 15:09 383.865 DirectX.log
13.06.2005 15:07 29.230 spupdsvc.log
13.06.2005 15:07 360 DtcInstall.log
13.06.2005 15:07 4.696 imsins.BAK
13.06.2005 15:06 1.347 OEWABLog.txt
13.06.2005 15:04 724.837 setuplog.txt
13.06.2005 15:02 526.976 svcpack.log
13.06.2005 14:59 200 cmsetacl.log
13.06.2005 14:59 1.330 sessmgr.setup.log
13.06.2005 14:03 148 wsdu.log
13.06.2005 14:03 403 DHCPUPG.LOG
13.06.2005 14:03 873 WINNT32.LOG
13.06.2005 14:02 964 UPGRADE.TXT
31.05.2005 16:39 21.576 LUINSTALL.LOG
26.04.2005 13:19 20.992 jestertb.dll
13.03.2005 17:38 0 nsreg.dat
13.03.2005 17:38 3.083 mozver.dat
15.02.2005 19:50 0 hosts
14.02.2005 14:59 0 test
14.02.2005 14:59 0 toolbar.exe
30.11.2004 01:26 9.153 hhdrvi.log
23.11.2004 15:01 8.368 KB834707-IE6SP1-20040929.091901.log
23.11.2004 14:44 9.556 Active Setup Log.txt
23.11.2004 14:42 1.005 Active Setup Log.BAK
21.11.2004 13:48 0 iPlayer.INI
18.11.2004 21:59 8.294 Windows Update.log
05.11.2004 00:20 25.633 DesertCombat Setup Log.txt
05.11.2004 00:18 729.088 iun6002.exe
02.11.2004 15:30 554 eReg.dat
02.11.2004 15:15 403 ODBC.INI
02.11.2004 14:08 128 SBWIN.INI
02.11.2004 13:33 8.192 REGLOCS.OLD
02.11.2004 13:31 0 control.ini
02.11.2004 13:31 299.552 WMSysPrx.prx
02.11.2004 13:31 4.161 ODBCINST.INI
02.11.2004 13:30 749 WindowsShell.Manifest
02.11.2004 13:28 37 vbaddin.ini
02.11.2004 13:28 36 vb.ini
02.11.2004 13:23 0 Sti_Trace.log
02.11.2004 13:21 1.348 regopt.log
02.11.2004 13:21 0 setuperr.log

Dein link bezüglich des Backdoors sollte nur eine Information für mich sein oder? Etwas zum Download gegen den Backdoor finde ich nämlich nicht.

Danke nochmals...

EDIT: Ich habe mal genauer hingeschaut und die Eingabeaufforderung namens mousehs, dass du erwähnt hast, hat wohl mit dem Trojaner/Backdoor zu tun. Deswegen soll ich auch die LOGS posten :wink:

Ich fange an zu verstehen, auch wenn es Niemanden interessieren dürfte

Somit kannst du auch meine Frage oben vergessen.

Gruß, Coskane

von **Nikita** am 23.09.2005, 17:32

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

mousehs

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

von **DaMudda** am 23.09.2005, 17:37

Achso sorry, dass habe ich doch glatt vergessen

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "mousehs" 23.09.2005 17:16:18

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MOUSEHS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MOUSEHS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MOUSEHS\0000]
"Service"="mousehs"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs\Enum]
"0"="Root\\LEGACY_MOUSEHS\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MOUSEHS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MOUSEHS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MOUSEHS\0000]
"Service"="mousehs"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mousehs]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mousehs\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MOUSEHS]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MOUSEHS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MOUSEHS\0000]
"Service"="mousehs"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mousehs]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mousehs\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MOUSEHS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MOUSEHS\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MOUSEHS\0000]
"Service"="mousehs"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs\Enum]
"0"="Root\\LEGACY_MOUSEHS\\0000"

von **Nikita** am 24.09.2005, 00:49

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Code: Alles auswählen: REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MOUSEHS] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MOUSEHS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mousehs\Enum] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MOUSEHS] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MOUSEHS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mousehs] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mousehs\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MOUSEHS] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MOUSEHS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mousehs] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\mousehs\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MOUSEHS] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MOUSEHS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs\Security] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousehs\Enum]

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\c.bat
C:\WINDOWS\system32\.pif
C:\WINDOWS\system32\TFTP3404
C:\WINDOWS\System32\mousehs.exe
C:\WINDOWS\system32\ftpupd.exe
C:\WINDOWS\system32\msnsched.exe
C:\WINDOWS\system32\fhrpath.txt
C:\WINDOWS\system32\sysfhr.dat
C:\WINDOWS\system32\sysfhr.sys
C:\WINDOWS\system32\paydial.exe
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\dktibs.exe
C:\WINDOWS\hosts
C:\WINDOWS\test
C:\WINDOWS\toolbar.exe
C:\WINDOWS\iun6002.exe

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.
und mit "ja" der Registry beifuegen

--------------------------------------------------------------------------------------------------------
wieder im Normalmodus:

poste mir noch mal das Log von
RegSrch.vbs © Bill James um zu sehen, ob die Registry sauber ist.
( MOUSEHS reinkopieren )

und auch noch mal die 4 logs
(die temp-Dateien muessen leer sein, ich hoffe, du erledigst das mit CCleaner

dann:

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

und scanne mit Kaspersky und berichte vom scann
http://nikita.eddys-domain.de/onlinescan.html

von **DaMudda** am 25.09.2005, 15:28

Hallo Nikita,

ich habe alles, so wie du es beschrieben hast, gemacht und es sieht nun wie folgt aus:

RegSrch.vbs © Bill James

>>> No instances of "MOUSEHS" found.

Die 4 LOG's

>>> Verzeichnis von C:\WINDOWS\system32

25.09.2005 14:33 16.420 BMXState-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
25.09.2005 14:33 24.672 BMXBkpCtrlState-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
25.09.2005 14:33 16.420 BMXStateBkp-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
25.09.2005 14:33 24.672 BMXCtrlState-{00000002-00000000-00000008-00001102-00000002-80401102}.rfx
25.09.2005 14:33 24 DVCState-{00000002-00000000-00000008-00001102-00000002-80401102}.dat
25.09.2005 14:33 24 DVCStateBkp-{00000002-00000000-00000008-00001102-00000002-80401102}.dat
25.09.2005 14:33 1.080 settings.sfm
25.09.2005 14:33 1.080 settingsbkup.sfm
25.09.2005 13:38 0 nvapps.xml
19.09.2005 14:55 23.392 nscompat.tlb
19.09.2005 14:55 16.832 amcompat.tlb
19.09.2005 14:52 2.206 wpa.dbl
29.08.2005 13:27 520.968 LegitCheckControl.DLL
14.08.2005 10:44 39.992 perfc009.dat
14.08.2005 10:44 311.604 perfh009.dat
14.08.2005 10:44 316.594 perfh007.dat
14.08.2005 10:44 48.156 perfc007.dat
14.08.2005 10:44 723.744 PerfStringBackup.INI
02.08.2005 16:35 303.104 nvwrssl.dll
02.08.2005 16:35 299.008 nvwrssk.dll
02.08.2005 16:35 270.336 nvrsel.dll
02.08.2005 16:35 315.392 nvwrsru.dll
02.08.2005 16:35 319.488 nvwrsptb.dll
02.08.2005 16:35 323.584 nvwrspt.dll
02.08.2005 16:35 294.912 nvwrssv.dll
02.08.2005 16:35 299.008 nvwrsno.dll
02.08.2005 16:35 319.488 nvwrsnl.dll
02.08.2005 16:35 393.216 keystone.exe
02.08.2005 16:35 196.608 nvwrsko.dll
02.08.2005 16:35 303.104 nvwrstr.dll
02.08.2005 16:35 212.992 nvwrsja.dll
02.08.2005 16:35 163.840 nvwrszhc.dll
02.08.2005 16:35 167.936 nvwrszht.dll
02.08.2005 16:35 323.584 nvwrsit.dll
02.08.2005 16:35 315.392 nvwrshu.dll
02.08.2005 16:35 278.528 nvwrshe.dll
02.08.2005 16:35 1.519.616 nwiz.exe
02.08.2005 16:35 294.912 nvwrspl.dll
02.08.2005 16:35 327.680 nvwrsfr.dll
02.08.2005 16:35 303.104 nvwrsfi.dll
02.08.2005 16:35 327.680 nvwrsesm.dll
02.08.2005 16:35 335.872 nvwrses.dll
02.08.2005 16:35 286.720 nvwrseng.dll
02.08.2005 16:35 286.720 nvnt4cpl.dll
02.08.2005 16:35 311.296 nvwrsde.dll
02.08.2005 16:35 294.912 nvwrsda.dll
02.08.2005 16:35 86.016 nvmctray.dll
02.08.2005 16:35 286.720 nvwrscs.dll
02.08.2005 16:35 1.466.368 nview.dll
02.08.2005 16:35 315.392 nvrsar.dll
02.08.2005 16:35 1.019.904 nvwimg.dll
02.08.2005 16:35 1.662.976 nvwdmcpl.dll
02.08.2005 16:35 81.920 nvwddi.dll
02.08.2005 16:35 176.128 nvusmb.exe
02.08.2005 16:35 176.128 NVUNINST.EXE
02.08.2005 16:35 540.672 nvhwvid.dll
02.08.2005 16:35 266.240 nvrsde.dll
02.08.2005 16:35 176.128 nvuide.exe
02.08.2005 16:35 176.128 nvugart.exe
02.08.2005 16:35 176.128 nvuenet.exe
02.08.2005 16:35 176.128 nvudisp.exe
02.08.2005 16:35 73.728 nvtuicpl.cpl
02.08.2005 16:35 127.043 nvsvc32.exe
02.08.2005 16:35 466.944 nvshell.dll
02.08.2005 16:35 114.688 nvrszht.dll
02.08.2005 16:35 212.992 nvrszhc.dll
02.08.2005 16:35 245.760 nvrstr.dll
02.08.2005 16:35 241.664 nvrssv.dll
02.08.2005 16:35 233.472 nvrscs.dll
02.08.2005 16:35 241.664 nvrssl.dll
02.08.2005 16:35 245.760 nvrssk.dll
02.08.2005 16:35 258.048 nvrsru.dll
02.08.2005 16:35 253.952 nvrsptb.dll
02.08.2005 16:35 262.144 nvrspt.dll
02.08.2005 16:35 241.664 nvrspl.dll
02.08.2005 16:35 241.664 nvrsno.dll
02.08.2005 16:35 262.144 nvrsnl.dll
02.08.2005 16:35 249.856 nvrsko.dll
02.08.2005 16:35 253.952 nvrsja.dll
02.08.2005 16:35 270.336 nvrsit.dll
02.08.2005 16:35 245.760 nvrshu.dll
02.08.2005 16:35 335.872 nvwrsel.dll
02.08.2005 16:35 311.296 nvrshe.dll
02.08.2005 16:35 270.336 nvrsfr.dll
02.08.2005 16:35 3.908.864 nv4_disp.dll
02.08.2005 16:35 442.368 nvappbar.exe
02.08.2005 16:35 237.568 nvrsfi.dll
02.08.2005 16:35 262.144 nvrsesm.dll
02.08.2005 16:35 34.109 nvapps.nvb
02.08.2005 16:35 5.140.480 nvoglnt.dll
02.08.2005 16:35 32.768 nvcod.dll
02.08.2005 16:35 32.768 nvcodins.dll
02.08.2005 16:35 147.456 nvcolor.exe
02.08.2005 16:35 270.336 nvrses.dll
02.08.2005 16:35 7.110.656 nvcpl.dll
02.08.2005 16:35 237.568 nvrseng.dll
02.08.2005 16:35 14.757 nvdisp.nvu
02.08.2005 16:35 241.664 nvrsda.dll
02.08.2005 16:35 282.624 nvwrsar.dll
02.08.2005 16:35 1.339.392 nvdspsch.exe
28.07.2005 14:52 91.856 S32EVNT1.DLL
13.06.2005 15:04 251 spupdwxp.log
13.06.2005 15:03 528.096 FNTCACHE.DAT
09.06.2005 22:32 692.736 DivX.dll
29.05.2005 01:35 692.224 divxdec.ax
24.05.2005 23:32 10.775 dsm_ja.qm
24.05.2005 23:32 15.153 dsm_fr.qm
24.05.2005 23:32 15.351 dsm_de.qm
24.05.2005 23:32 4.276 divxsm.tlb
24.05.2005 23:32 524.288 DivXsm.exe
20.05.2005 20:25 3.136 dtu_de.qm
18.05.2005 23:40 200.704 dtu100.dll
05.05.2005 03:12 671.744 divx_xx11.dll
05.05.2005 03:12 688.128 divx_xx0c.dll
05.05.2005 03:12 688.128 divx_xx07.dll
28.04.2005 06:22 3.596.288 qt-dx331.dll
28.04.2005 06:22 57.344 dpv11.dll
28.04.2005 06:22 303.104 dpus11.dll
28.04.2005 06:22 581.632 dpuGUI11.dll
28.04.2005 06:22 8.523 dpude.qm
28.04.2005 06:22 245.760 dpu11.dll
28.04.2005 06:22 86.016 dpl100.dll
28.04.2005 06:22 245.408 unicows.dll
28.04.2005 06:22 159.744 ssleay32.dll
28.04.2005 06:22 831.488 libeay32.dll
05.04.2005 11:17 132.824 SymRedir.dll
05.04.2005 11:17 517.848 SymNeti.dll
18.03.2005 17:19 2.337.488 d3dx9_25.dll
14.03.2005 23:18 2.957 jupdate-1.5.0_01-b08.log
05.02.2005 19:45 2.222.800 d3dx9_24.dll
28.01.2005 15:37 23.304 GWFSPidGen.DLL
28.01.2005 15:23 9.216 asferror.dll
28.01.2005 15:23 228.352 wmerror.dll
28.01.2005 15:23 86.016 wmpshell.dll
28.01.2005 15:23 3.407.872 wmploc.dll
28.01.2005 15:23 316.416 MSWMDM.dll
28.01.2005 15:23 486.400 Audiodev.dll
28.01.2005 13:32 895.736 wmvdmod.dll
28.01.2005 13:32 2.370.296 wmvcore.dll
28.01.2005 13:32 1.218.808 wmvadvd.dll
28.01.2005 13:32 774.904 wmsdmod.dll
28.01.2005 13:32 396.528 wmadmod.dll
28.01.2005 13:32 413.944 wmspdmod.dll
28.01.2005 13:32 258.296 drmclien.dll
28.01.2005 13:32 364.784 MSSCP.dll
28.01.2005 08:53 290.816 WMDRMNet.dll
28.01.2005 08:53 335.872 WMDRMdev.dll
28.01.2005 08:53 502.272 drmv2clt.dll
28.01.2005 08:53 294.912 blackbox.dll
28.01.2005 08:53 221.184 qasf.dll
28.01.2005 08:53 142.336 msnetobj.dll
28.01.2005 08:53 96.768 drmstor.dll
28.01.2005 08:53 1.512.448 WMVADVE.DLL
28.01.2005 08:53 135.168 wmpasf.dll
28.01.2005 08:53 33.792 WMDMPS.dll
28.01.2005 08:53 173.568 MsPMSP.dll
28.01.2005 08:53 282.624 wmpdxm.dll
28.01.2005 08:53 164.864 cewmdm.dll
28.01.2005 08:53 25.088 MsPMSNSv.dll
28.01.2005 08:53 28.160 WMDMLOG.dll
28.01.2005 08:53 175.104 wmpsrcwp.dll
28.01.2005 08:53 1.119.744 wmsdmoe2.dll
28.01.2005 08:53 716.288 wmadmoe.dll
28.01.2005 08:53 940.544 wmspdmoe.dll
28.01.2005 08:53 1.003.008 wmvdmoe2.dll
28.01.2005 08:53 1.594.880 wmpencen.dll
28.01.2005 08:53 224.768 wmasf.dll
28.01.2005 08:53 150.016 wmidx.dll
28.01.2005 08:53 1.027.072 wmnetmgr.dll
28.01.2005 08:53 5.525.504 wmp.dll
28.01.2005 08:53 6.656 laprxy.dll
28.01.2005 08:52 20.480 wmp.ocx
28.01.2005 08:52 20.480 wmpcd.dll
28.01.2005 08:52 20.480 wmpcore.dll
28.01.2005 08:52 20.480 wmpui.dll
28.01.2005 01:36 38.912 wpd_ci.dll
28.01.2005 01:36 331.264 wpdsp.dll
28.01.2005 01:36 331.776 wpdmtpdr.dll
28.01.2005 01:36 114.176 wpdmtp.dll
28.01.2005 01:36 66.560 wpdmtpus.dll
28.01.2005 01:36 61.952 wpdconns.dll
28.01.2005 01:36 10.752 wpdtrace.dll
28.01.2005 01:36 47.104 uwdf.exe
28.01.2005 01:36 38.912 wdfmgr.exe
28.01.2005 01:35 15.872 wdfapi.dll
28.01.2005 01:26 360.448 l3codecp.acm
28.01.2005 01:21 96.768 logagent.exe
27.01.2005 15:39 466.944 capicom.dll
02.01.2005 03:08 69.632 ElbyCDIO.dll
28.12.2004 01:51 34.064 lhacm.acm
10.12.2004 19:29 43.520 CmdLineExt03.dll
30.11.2004 01:12 841 qtplugin.log
23.11.2004 13:45 0 TFTP2868

>>> Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

NICHTS

>>> Verzeichnis von C:\WINDOWS

25.09.2005 14:42 394.853 WindowsUpdate.log
25.09.2005 14:36 2.048 bootstat.dat
25.09.2005 14:33 32.566 SchedLgU.Txt
22.09.2005 18:43 658 win.ini
22.09.2005 18:43 227 system.ini
21.09.2005 23:06 49 NeroDigital.ini
19.09.2005 14:54 316.640 WMSysPr9.prx
18.09.2005 15:21 373.248 EyeCand3.INI
15.09.2005 15:35 3.373.917 {00000002-00000000-00000008-00001102-00000002-80401102}.CDF
12.09.2005 14:14 90.112 DUMP4381.tmp
13.06.2005 14:02 964 UPGRADE.TXT
26.04.2005 13:19 20.992 jestertb.dll
13.03.2005 17:38 0 nsreg.dat
13.03.2005 17:38 3.083 mozver.dat
21.11.2004 13:48 0 iPlayer.INI
02.11.2004 15:30 554 eReg.dat
02.11.2004 15:15 403 ODBC.INI
02.11.2004 14:08 128 SBWIN.INI
02.11.2004 13:33 8.192 REGLOCS.OLD
02.11.2004 13:31 0 control.ini
02.11.2004 13:31 299.552 WMSysPrx.prx
02.11.2004 13:31 4.161 ODBCINST.INI
02.11.2004 13:30 749 WindowsShell.Manifest
02.11.2004 13:28 36 vb.ini
02.11.2004 13:28 37 vbaddin.ini
03.09.2004 15:55 294.912 WEBInstall.ocx
01.09.2004 16:52 274.432 WEBCheckVer.ocx
22.08.2004 18:04 69.120 daemon.dll
04.08.2004 00:58 288.768 winhlp32.exe
04.08.2004 00:58 32.866 slrundll.exe
04.08.2004 00:58 153.600 regedit.exe
04.08.2004 00:58 70.144 notepad.exe
04.08.2004 00:57 10.752 hh.exe
04.08.2004 00:57 1.035.264 explorer.exe
04.08.2004 00:57 50.688 twain_32.dll
30.07.2004 17:59 184.320 ObjInstall.exe
29.07.2004 18:28 94.208 DisWhql.dll
17.07.2004 11:40 19.528 002548_.tmp
14.01.2004 03:10 163.840 BJPSUNST.EXE
17.12.2003 10:50 19.968 LOGI_MWX.EXE

>>> Logfile of HijackThis v1.99.1

Scan saved at 15:24:14, on 25.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SP2 Connection Patcher] "C:\Programme\SP2 Connection Patcher\SP2ConnPatcher.exe" -n=200
O4 - Startup: t-online.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1764197781
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D74352E7-3854-4114-ACB1-582E2A4D512E}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

>>> Kaspersky

KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 25, 2005 15:13:58
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 25/09/2005
Kaspersky Anti-Virus database records: 141998
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 62968
Number of viruses found: 3
Number of infected objects: 3
Number of suspicious objects: 0
Duration of the scan process: 2104 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\setup heck bird\meal amok.exe Infected: Trojan-Downloader.Win32.Swizzor.bo
C:\System Volume Information\_restore{FCE321A0-64B0-4D50-8565-8880FD7C879F}\RP120\A0107353.pif Infected: Trojan-Downloader.BAT.Ftp.z
C:\System Volume Information\_restore{FCE321A0-64B0-4D50-8565-8880FD7C879F}\RP91\A0044404.exe Infected: Trojan-Downloader.Win32.Swizzor.do

Scan process completed.

>>> Dann bleiben wohl noch 3 Viren übrig? Ich hoffe, dass du mir auch da helfen kannst. Danke.

Was die Abstürze betrifft, glaube ich die Lösung gefunden zu haben. Es liegt höchstwahrscheinlich an einem der RAM's.

EDIT: Übrigens, ich habe soeben alle Systemwiederherstellungspunkte, außer der Letzten, gelöscht. Sind somit die 2 Viren in der "C:\System Volume Information\_restore" gelöscht oder hat das damit überhaupt nichts zu tun?

Gruß, Coskane

von **Nikita** am 25.09.2005, 18:42

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/

PC neustarten in den abgesicherten Modus

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\setup heck bird <--loeschen (+ alle Unterordner)

loeschen:!!!!!!!!!!!!!!!!!!!!
C:\WINDOWS\system32\TFTP2868

scanne mit ewido und poste den Scanreport
http://virus-protect.net/ewido.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

von **DaMudda** am 25.09.2005, 20:00

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:53:09, 25.09.2005
+ Report-Checksumme: 5AF25BD0

+ Scanergebnis:

HKU\S-1-5-21-839522115-2025429265-725345543-500\Software\Igor V. Gunko -> Spyware.HyperBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@weborama[2].txt -> Spyware.Cookie.Weborama : Gesäubert ohne Backup
C:\WINDOWS\system32\scman.exe -> Backdoor.Wootbot : Gesäubert ohne Backup

::Report Ende

- findjobs.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48F7-2716

Verzeichnis von C:\WINDOWS\tasks

01.03.2005 20:05 <DIR> .
01.03.2005 20:05 <DIR> ..
18.08.2001 21:00 65 desktop.ini
25.09.2005 19:28 6 SA.DAT
25.09.2005 17:30 364 Symantec NetDetect.job
3 Datei(en) 435 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop

Logfile of HijackThis v1.99.1

Scan saved at 19:59:53, on 25.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SP2 Connection Patcher] "C:\Programme\SP2 Connection Patcher\SP2ConnPatcher.exe" -n=200
O4 - Startup: t-online.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1764197781
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.ne ... tector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D74352E7-3854-4114-ACB1-582E2A4D512E}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

EDIT: Ich habe nochmal den Kaspersky Online Scanner laufen lassen und er zeigt mir immernoch 2 Viren an.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, September 25, 2005 20:50:11
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 25/09/2005
Kaspersky Anti-Virus database records: 142000
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
G:\

Scan Statistics:
Total number of scanned objects: 57370
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 1994 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{FCE321A0-64B0-4D50-8565-8880FD7C879F}\RP120\A0107353.pif Infected: Trojan-Downloader.BAT.Ftp.z
C:\System Volume Information\_restore{FCE321A0-64B0-4D50-8565-8880FD7C879F}\RP123\A0116744.exe Infected: Trojan-Downloader.Win32.Swizzor.bo

Scan process completed.

Gruß, Coskane

von **Nikita** am 25.09.2005, 22:22

ups

einer ist mir doch entgangen

C:\WINDOWS\system32\scman.exe -> Backdoor.Wootbot :

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann neustarten, wieder aktivieren und dann duefte alles in Ordnung sein

Uff....

P.S: bedenke, dass dein PC nun nicht mehr vetrauenswuerdig ist, denn wir wissen nicht, was der Backdoor so alles umgestellt hat, und wir wissen auch nicht, ob wirklich alles sauber ist, vor allem in der Registry habe ich da meine Bedenken.
Wenn du neu formatieren willst, dann mache es....

von **DaMudda** am 26.09.2005, 14:44

Hallo Nikita,

ich finde die Datei "C:\WINDOWS\system32\scman.exe" nicht auf meinem Rechner.

Was die Vertraunswürdigkeit meines PC's betrifft, hast du sicherlich Recht. Sollte ich mal z.B. das Mainboard austauschen, werde ich sowieso formatieren müssen. Zur Zeit will ich das nicht, da ich sovieles auf der Platte habe und kein bock habe alles erneut zu installieren und einzustellen. Man könnte es auch Faulheit nennen :roll:

Ich danke dir auf jeden Fall, dass du mir weitergeholfen hast. Echt cool von dir! Deine Beschreibungen waren immer verständlich und absolut perfekt.

Kennst du vielleicht ein Programm, oder gibt es überhaupt ein Programm, dass die Registry checkt und in den ursprünglichen Zustand setzt?

EDIT: Ich denke, ewido security hat die besagte Datei "C:\WINDOWS\system32\scman.exe -> Backdoor.Wootbot : Gesäubert ohne Backup" schon gelöscht :lol:

Ich weiss allerdings nicht, wieso Kaspersky immernoch die 2 Viren (siehe Posting zuvor) anzeigt?

Gruß, Coskane

von **Nikita** am 26.09.2005, 14:52

kopiere das mal in die Killbox:
C:\WINDOWS\system32\scman.exe

ansonsten, wenn du sowieso formatieren willst, dann mache es, wenn du Zeit und lust hast, aber nicht erst in 3 Jahren

die Registry ist wie sie ist, nur manuelles Umstellen hilft, oder ein Images vom sauberen System, wenn du eins angelegt hast.

von **DaMudda** am 26.09.2005, 15:29

Ich habe die Zeile in Killbox eingegeben (mit Reboot).

Formatieren will ich, wenn es mal auf Grund von Hardwareaustausch notwendig sein sollte. Sonst würde ich hier nicht unnötig deine Nerven strapazieren.

Ja gut, dann bleibt noch eine Frage: Hast du eine Erklärung für die 2 Viren, die mir Kaspersky anzeigt?

EDIT: Das mit Kaspersky hat sich auch erledigt. Die Viren sind weg! Juhu

Tausend Dank Nikita...

Gruß, Coskane

Abstürze des PC's in unregelmäßigen Abständen.

Abstürze des PC's in unregelmäßigen Abständen.

Ähnliche Themen

Wer ist online?