Hallo ihr Lieben, diesmal bin nicht ich befallen sondern meine Schwester...lol
Nachdem sie ine wahre Vireninvasion hatte, hab ich mein Bestes getan und mein Wissen angewendet, aber ich traue dem momentanen Frieden nicht, deshalb bitte logfiles überprüfen, ob alles ok ist:


1: Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15:53:00, on 28.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CROSOF~1\smss.exe
C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Chrissie\LOKALE~1\Temp\Rar$EX02.822\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {071DD1F6-171C-3DC8-6D56-11E4CDB1EDCE} - (no file)
R3 - URLSearchHook: (no name) - {C9282739-E9DE-9D09-FFEF-EAFBFC1521C5} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\afchfwvf.dll",setvm
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [Bier] "C:\WINDOWS\system32\CROSOF~1\smss.exe" -vt ndrv
O4 - HKCU\..\Run: [Xmxea] C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklu ... oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62D5DB00-C133-4115-9C75-1675FE044A74}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

2. Echo logfile


Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:32 198.304 avsniffdlgs.dll
07.12.2004 16:07 32 bdcore.dll
01.03.2005 14:08 118.784 bdupd.dll
25.06.2003 19:00 541 ca.pub
17.05.2006 14:29 241 CabSA.inf
24.01.2007 01:00 2.504 catalog.dat
25.01.2007 20:46 51.368 daas.log
17.01.2006 17:11 580.663 daas_s.dll
24.01.2007 01:00 6.899 ecbootil.vxd
17.05.2006 14:26 42.112 ecmldr32.dll
24.01.2007 01:00 272.040 ecmsvr32.dll
03.02.2006 11:20 188.416 fsauc.dll
16.06.2006 15:31 181.856 fscax.dll
15.06.2006 10:19 483 fscax.inf
01.03.2005 14:08 53.248 ipsupd.dll
09.03.2005 15:34 7.225 lang.ini
07.12.2004 16:07 32 libfn.dll
02.03.2005 13:43 126 live.ini
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:28 201.896 navapi32.dll
24.01.2007 01:00 124.536 naveng32.dll
24.01.2007 01:00 902.776 navex32a.dll
01.03.2005 11:15 1.246 oscan8.inf
09.03.2005 15:40 475.136 oscan8.ocx
17.05.2006 14:32 161.480 rufsi.dll
09.03.2005 15:44 7.276 scanoptions.tsi
24.01.2007 01:00 97.712 scrauth.dat
22.06.2006 10:41 5.032 swflash.inf
24.01.2007 01:00 9.237 symaveng.cat
24.01.2007 01:00 1.061 symaveng.inf
24.01.2007 01:00 188.160 tcdefs.dat
24.01.2007 01:00 1.240.575 tcscan7.dat
24.01.2007 01:00 331.270 tcscan8.dat
24.01.2007 01:00 743.430 tcscan9.dat
24.01.2007 01:00 453 tinf.dat
24.01.2007 01:00 148 tinfidx.dat
24.01.2007 01:00 1.957 tinfl.dat
24.01.2007 01:00 64.232 tscan1.dat
24.01.2007 01:00 3.072 tscan1hd.dat
24.01.2007 01:00 4.778 v.grd
24.01.2007 01:00 2.261 v.sig
24.01.2007 01:00 106.244 virscan.inf
24.01.2007 01:00 976.428 virscan1.dat
24.01.2007 01:00 570.042 virscan2.dat
24.01.2007 01:00 147.656 virscan3.dat
24.01.2007 01:00 320.186 virscan4.dat
24.01.2007 01:00 3.276.352 virscan5.dat
24.01.2007 01:00 390.197 virscan6.dat
24.01.2007 01:00 6.093.618 virscan7.dat
24.01.2007 01:00 1.670.605 virscan8.dat
24.01.2007 01:00 4.065.213 virscan9.dat
24.01.2007 01:00 32 virscant.dat
24.01.2007 01:00 224 zdone.dat
55 Datei(en) 24.128.195 Bytes

Anzahl der angezeigten Dateien:
55 Datei(en) 24.128.195 Bytes
0 Verzeichnis(se), 9.734.717.440 Bytes frei

3. system-datfindbat

Verzeichnis von C:\WINDOWS

28.01.2007 22:43 0 0.log
28.01.2007 22:43 4.232 ModemLog_Agere Systems AC'97 Modem.txt
28.01.2007 22:42 1.233.883 WindowsUpdate.log
28.01.2007 22:42 159 wiadebug.log
28.01.2007 22:42 50 wiaservc.log
28.01.2007 22:41 2.048 bootstat.dat
28.01.2007 20:04 32.578 SchedLgU.Txt
28.01.2007 17:08 219.648 offitems.log
28.01.2007 10:24 211.546 setupapi.log
28.01.2007 10:11 32 pavsig.txt
27.01.2007 23:01 54.156 QTFont.qfn
27.01.2007 19:08 212.665 setupact.log
24.01.2007 23:23 227 SYSTEM.INI
24.01.2007 19:54 4 avcom.log
24.01.2007 00:02 999.052 ntbtlog.txt
23.01.2007 22:30 26 Lic.xxx
23.01.2007 22:25 4.551.159 REGBK00.ZIP
17.01.2007 14:32 1.130 win.ini
15.01.2007 17:23 3.703 mozver.dat
14.01.2007 14:08 73.216 cadkasdeinst01.exe
14.01.2007 13:56 20 crackpdf.INI
11.01.2007 20:32 125.234 iis6.log
11.01.2007 20:32 265.226 comsetup.log
11.01.2007 20:32 159.372 ntdtcsetup.log
11.01.2007 20:32 304.843 tsoc.log
11.01.2007 20:32 1.374 imsins.log
11.01.2007 20:32 42.394 ocmsn.log
11.01.2007 20:32 3.560 KB929969.log
11.01.2007 20:32 378.954 ocgen.log
11.01.2007 20:32 38.895 msgsocm.log
11.01.2007 20:32 797.886 FaxSetup.log
09.01.2007 21:01 442.368 outlook.pst
07.01.2007 20:58 126.316 wmsetup.log
07.01.2007 12:51 16.864 DPINST.LOG
15.12.2006 19:02 1.393 imsins.BAK
15.12.2006 19:02 8.512 KB925398.log
15.12.2006 19:02 404 avmcowlan.log
15.12.2006 19:02 1.348 avmcoins.log
15.12.2006 19:01 13.745 KB926255.log
15.12.2006 19:01 61.105 updspapi.log
15.12.2006 19:01 13.788 KB923694.log
12.12.2006 18:52 14.433 spupdsvc.log
12.12.2006 18:47 39.648 ie7_main.log
12.12.2006 18:47 67.459 ie7.log
12.12.2006 18:44 11.954 IDNMitigationAPIs.log
12.12.2006 18:43 11.700 NLSDownlevelMapping.log
12.12.2006 18:42 12.587 KB915865.log
05.12.2006 20:17 7.168 Chrissie.pcb
23.11.2006 06:55 1.027.983 setupapi.log.0.old
23.11.2006 06:53 6.016 KB914440.log
23.11.2006 06:53 12.734 KB904942.log
19.11.2006 17:00 36.864 uinst001.exe
18.11.2006 20:42 19.282 KB923980.log
18.11.2006 20:42 19.442 KB924270.log
18.11.2006 20:38 21.317 KB920213.log
18.11.2006 20:38 10.407 KB911565.log
18.11.2006 20:37 35.215 KB922760.log
15.11.2006 21:35 6.375 KB926239.log
15.11.2006 21:34 3.465 MSCompPackV1.log
15.11.2006 21:34 16.334 wmp11.log
15.11.2006 21:34 2.787 wmsetup10.log
15.11.2006 21:31 28.329 WMFDist11.log
15.11.2006 21:24 10.478 Wudf01000Inst.log
12.11.2006 15:04 364 cdplayer.ini
21.10.2006 20:44 3.373 s3iscfg.log
21.10.2006 20:44 273 Chrome.uns
13.10.2006 19:10 15.157 KB924191.log
13.10.2006 19:09 14.756 KB922819.log
13.10.2006 19:09 13.068 KB923414.log
13.10.2006 19:08 15.873 KB924496.log
13.10.2006 19:08 10.281 KB923191.log
06.10.2006 22:20 3.500 avminstcli.log
06.10.2006 22:20 4.671 avmadd321.log
06.10.2006 22:20 4.846 avmsetup.log
06.10.2006 22:20 1.885 avmadd32.log
06.10.2006 22:20 9.760 accessdll.log
03.10.2006 16:47 802 disney.ini

4. system 32-datfindbat

28.01.2007 22:55 475.383 lkkmp.ini2
28.01.2007 22:46 475.383 lkkmp.bak1
28.01.2007 22:45 475.170 lkkmp.bak2
28.01.2007 22:44 1.158 wpa.dbl
28.01.2007 22:41 1.937.074 ikhcore.log
28.01.2007 10:09 2.550 Uninstall.ico
28.01.2007 10:09 1.406 Help.ico
27.01.2007 16:30 2.238 ClickToFindandFixErrors_RON.ico
25.01.2007 18:16 2 wnscptr.exe
24.01.2007 19:53 4 avcom.log
24.01.2007 17:21 2 stera.log
23.01.2007 19:06 353 lkkmp.ini
23.01.2007 18:46 353 lkkmp.tmp
23.01.2007 18:40 353 lmoqr.ini
23.01.2007 18:40 277.166 rqoml.dll
23.01.2007 18:39 277.166 pmkkl.dll
23.01.2007 17:26 475.685 gffhk.ini2
23.01.2007 17:20 475.634 gffhk.tmp
23.01.2007 17:11 475.170 gffhk.bak1
23.01.2007 17:01 475.952 ddeeg.ini2
23.01.2007 16:48 346 fvwfhcfa.ini
23.01.2007 16:47 475.364 ddeeg.tmp
23.01.2007 16:38 475.170 ddeeg.bak1
23.01.2007 16:15 913 unsvchosts.lzma
23.01.2007 16:15 22.029 mljjiff.dll
21.01.2007 13:32 100 LuResult.txt
18.01.2007 14:14 196.960 FNTCACHE.DAT
07.01.2007 14:31 382.026 perfh009.dat
07.01.2007 14:31 53.770 perfc009.dat
07.01.2007 14:31 393.086 perfh007.dat
07.01.2007 14:31 64.848 perfc007.dat
07.01.2007 14:30 902.476 PerfStringBackup.INI
05.01.2007 22:02 0 tdifmon.log
03.01.2007 00:19 10.980.776 MRT.exe
22.12.2006 00:00 120.872 MSForms.TWD
20.12.2006 23:30 9.132 jupdate-1.5.0_10-b03.log
13.12.2006 21:24 89.296 ElbyCDIO.dll
03.12.2006 20:04 48.424 sirenacm.dll
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
15.11.2006 21:34 16.832 amcompat.tlb
15.11.2006 21:34 23.392 nscompat.tlb
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll
24.10.2006 20:33 8.282.112 wmploc.dll
24.10.2006 20:04 99.840 wmpshell.dll
24.10.2006 20:04 275.968 wmerror.dll
24.10.2006 20:02 8.192 asferror.dll
20.10.2006 02:38 715.776 sxs.dll
18.10.2006 23:03 43.008 wpdshextres.dll
18.10.2006 22:58 8.704 wdfmgr.exe
18.10.2006 22:58 8.704 uwdf.exe
18.10.2006 22:47 2.603.008 WpdShext.dll
18.10.2006 22:47 4.096 WMVADVD.dll
18.10.2006 22:47 1.329.152 WMSPDMOE.dll
18.10.2006 22:47 1.574.912 WMVENCOD.dll
18.10.2006 22:47 4.096 wmsdmoe2.dll
18.10.2006 22:47 4.096 wmsdmod.dll
18.10.2006 22:47 656.896 WMVXENCD.dll
18.10.2006 22:47 63.488 wpdmtpus.dll
18.10.2006 22:47 4.096 wmvdmoe2.dll
18.10.2006 22:47 1.382.912 WMVSDECD.dll
18.10.2006 22:47 4.096 WMVADVE.DLL
18.10.2006 22:47 2.450.944 wmvcore.dll
18.10.2006 22:47 154.624 wpdmtp.dll
18.10.2006 22:47 1.543.680 WMVDECOD.dll
18.10.2006 22:47 35.840 wpdconns.dll
18.10.2006 22:47 767.488 WMVSENCD.dll
18.10.2006 22:47 603.648 WMSPDMOD.dll
18.10.2006 22:47 629.760 wpd_ci.dll
18.10.2006 22:47 356.352 wpdsp.dll
18.10.2006 22:47 4.096 wmvdmod.dll
18.10.2006 22:47 133.632 WPDShServiceObj.dll
18.10.2006 22:47 937.984 WMNetMgr.dll
18.10.2006 22:47 10.834.432 wmp.dll
18.10.2006 22:47 242.688 wmpasf.dll
18.10.2006 22:47 314.880 wmpdxm.dll
18.10.2006 22:47 157.184 wmidx.dll
18.10.2006 22:47 295.936 wmpeffects.dll
18.10.2006 22:47 1.661.440 wmpencen.dll
18.10.2006 22:47 535.040 wmdrmsdk.dll
18.10.2006 22:47 130.048 wmpps.dll
18.10.2006 22:47 348.672 wmdrmnet.dll
18.10.2006 22:47 204.288 wmpsrcwp.dll
18.10.2006 22:47 613.376 wmpmde.dll
18.10.2006 22:47 199.168 PortableDeviceWMDRM.dll
18.10.2006 22:47 211.456 qasf.dll
18.10.2006 22:47 101.888 PortableDeviceClassExtension.dll
18.10.2006 22:47 132.096 PortableDeviceWiaCompat.dll
18.10.2006 22:47 284.160 PortableDeviceApi.dll
18.10.2006 22:47 757.248 WMADMOD.dll
18.10.2006 22:47 1.117.696 WMADMOE.dll
18.10.2006 22:47 4.096 wdfapi.dll
18.10.2006 22:47 222.208 WMASF.dll
18.10.2006 22:47 33.792 wmdmlog.dll
18.10.2006 22:47 37.376 wmdmps.dll
18.10.2006 22:47 429.056 wmdrmdev.dll
18.10.2006 22:47 166.912 PortableDeviceTypes.dll
18.10.2006 22:47 175.616 mspmsp.dll
18.10.2006 22:47 179.712 msnetobj.dll
18.10.2006 22:47 414.208 msscp.dll
18.10.2006 22:47 321.536 mswmdm.dll
18.10.2006 22:47 27.136 mspmsnsv.dll
18.10.2006 22:47 259.072 MPG4DECD.dll
18.10.2006 22:47 317.440 MP4SDECD.dll
18.10.2006 22:47 4.096 MP43DMOD.dll
18.10.2006 22:47 259.072 MP43DECD.dll
18.10.2006 22:47 4.096 MPG4DMOD.dll
18.10.2006 22:47 11.264 LAPRXY.dll
18.10.2006 22:47 4.096 MP4SDMOD.dll
18.10.2006 22:47 212.992 MFPLAT.dll
18.10.2006 22:47 542.720 blackbox.dll
18.10.2006 22:47 991.744 drmv2clt.dll
18.10.2006 22:47 229.376 cewmdm.dll
18.10.2006 22:47 276.992 audiodev.dll
18.10.2006 21:05 232.448 l3codecp.acm
18.10.2006 21:03 100.864 logagent.exe
18.10.2006 21:00 249.856 drmupgds.exe
18.10.2006 21:00 17.408 wpdshextautoplay.exe
18.10.2006 12:56 28.778 klogon.dll
17.10.2006 12:06 443.904 html.iec
17.10.2006 12:06 78.336 ieencode.dll
17.10.2006 12:05 206.336 WinFXDocObj.exe
17.10.2006 12:05 1.817.088 inetcpl.cpl
17.10.2006 12:05 105.984 url.dll
17.10.2006 12:05 40.960 licmgr10.dll
17.10.2006 12:05 192.000 msrating.dll
17.10.2006 12:04 101.376 occache.dll
17.10.2006 12:03 17.408 corpol.dll
17.10.2006 12:00 491.520 jscript.dll
17.10.2006 11:58 12.288 msfeedssync.exe
17.10.2006 11:58 61.952 icardie.dll
17.10.2006 11:58 44.544 pngfilt.dll
17.10.2006 11:58 346.624 dxtmsft.dll
17.10.2006 11:57 36.352 imgutil.dll
17.10.2006 11:57 214.528 dxtrans.dll
17.10.2006 11:57 266.752 iertutil.dll
17.10.2006 11:56 45.568 mshta.exe
17.10.2006 11:55 66.560 tdc.ocx
17.10.2006 11:28 48.128 mshtmler.dll
17.10.2006 11:27 380.928 ieapfltr.dll
17.10.2006 11:19 1.383.424 mshtml.tlb
16.10.2006 12:19 270.336 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll

5. systemtemp -datfindbat

Verzeichnis von C:\WINDOWS\Temp

28.01.2007 22:57 8.192 cch~cf7e6183.htp
28.01.2007 22:57 8.192 cch~cf7e5cc3.htp
28.01.2007 22:44 409 WGANotify.settings
28.01.2007 22:43 0 T30DebugLogFile.txt
28.01.2007 22:42 255 WGAErrLog.txt
28.01.2007 22:41 16.384 ~DFF2C7.tmp
6 Datei(en) 33.432 Bytes
0 Verzeichnis(se), 9.735.733.248 Bytes frei

6. temp- datfindbat

28.01.2007 22:52 289 datFind.zip
28.01.2007 22:49 173 jusched.log
2 Datei(en) 462 Bytes
0 Verzeichnis(se), 9.741.234.176 Bytes frei


P.S Clean up wird regelmäßig angewendet. Beim Starten nachdem schon der Desktop zu sehen ist, kommt die Fehlermeldung dass C:/Windows/system32/afchfwvf.dll nicht geladen werden kann. Allerdings bemerken wir bis jetzt noch keinen Nachteil davon.

C:\WINDOWS\system32\CROSOF~1\smss.exe
C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe
URLSearchHook: (no name) - {071DD1F6-171C-3DC8-6D56-11E4CDB1EDCE} - (no file)
R3 - URLSearchHook: (no name) - {C9282739-E9DE-9D09-FFEF-EAFBFC1521C5} - (no file)
O4 - HKCU\..\Run: [Bier] "C:\WINDOWS\system32\CROSOF~1\smss.exe" -vt ndrv
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\afchfwvf.dll",setvm
O4 - HKCU\..\Run: [Xmxea] C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe

kann es sein, dass deine schwester ein bisschen viel filesharting und p2p betrieben hat?

kaum werte ich deine logfiles aus, fährt sich mein rechner runter..vielleicht sollte ich meinen auch mal wieder checken

fast hätt ichs vergessen
1. bitdefender online-scan www.bitdefender.de und report posten
2. Avenger(siehe signatur)
reinkopieren:

Files to delete:
C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe
C:\WINDOWS\system32\CROSOF~1\smss.exe

3. mit hijackthis fixen(haken davor, fix checked):

URLSearchHook: (no name) - {071DD1F6-171C-3DC8-6D56-11E4CDB1EDCE} - (no file)
R3 - URLSearchHook: (no name) - {C9282739-E9DE-9D09-FFEF-EAFBFC1521C5} - (no file)

4. neues hijackthis logfile

Ariczzz hat geschrieben:

C:\WINDOWS\system32\CROSOF~1\smss.exe
C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe
URLSearchHook: (no name) - {071DD1F6-171C-3DC8-6D56-11E4CDB1EDCE} - (no file)
R3 - URLSearchHook: (no name) - {C9282739-E9DE-9D09-FFEF-EAFBFC1521C5} - (no file)
O4 - HKCU\..\Run: [Bier] "C:\WINDOWS\system32\CROSOF~1\smss.exe" -vt ndrv
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\afchfwvf.dll",setvm
O4 - HKCU\..\Run: [Xmxea] C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe

kann es sein, dass deine schwester ein bisschen viel filesharting und p2p betrieben hat?

kaum werte ich deine logfiles aus, fährt sich mein rechner runter..vielleicht sollte ich meinen auch mal wieder checken

fast hätt ichs vergessen
1. bitdefender online-scan www.bitdefender.de und report posten
2. Avenger(siehe signatur)
reinkopieren:

Files to delete:
C:\Dokumente und Einstellungen\Chrissie\Anwendungsdaten\??stem\n?pdb.exe
C:\WINDOWS\system32\CROSOF~1\smss.exe

3. mit hijackthis fixen(haken davor, fix checked):

URLSearchHook: (no name) - {071DD1F6-171C-3DC8-6D56-11E4CDB1EDCE} - (no file)
R3 - URLSearchHook: (no name) - {C9282739-E9DE-9D09-FFEF-EAFBFC1521C5} - (no file)

4. neues hijackthis logfile

Filesharing wars net. Aber ohne funktionierenden Virenschutz surfen lol. Da is man einmal net da hihi...
1.Avenger:
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

2. Bitdefender:


BitDefender Online Scanner







Bericht erstellt am: Mon, Jan 29, 2007 - 23:32:07









Zu prüfender Pfad: C:\;D:\;















Statistik

Zeit


02:11:02

Dateien


219127

Ordner


5233

Boot-Sektoren


2

Archive


6829

Komprimierte Dateien


16849







Ergebnisse

Erkannte Viren


3

Infizierte Dateien


15

verdächtige Dateien


0

Warnungen


0

Desinfiziert


0

Gelöscht


14







Engine-Info

Virensignaturen


417831

Engine info


AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)

Prüf-Plugins


14

Archiv-Plugins


38

Extraktions-Plugins


6

E-Mail-Plugins


6

System-Plugins


1







Prüfeinstellungen

Primäre Aktion


Desinfizieren

Sekundäre Aktion


Löschen

Heuristik


Ja

Warnungen aktivieren


Ja

Zu prüfende Erweiterungen


*;

Auszuschließende Erweiterungen




E-Mails prüfen


Ja

Archive prüfen


Ja

Komprimierte Dateien prüfen


Ja

Dateien prüfen


Ja

Boot-Sektoren prüfen


Ja








Geprüfte Dateien


Status

C:\NIS2005\Support\LiveReg\Advisor.exe


Infiziert: Trojan.Vb.YD

C:\NIS2005\Support\LiveReg\Advisor.exe


Desinfektion fehlgeschlagen

C:\NIS2005\Support\LiveReg\Advisor.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1000.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1000.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1000.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1000.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1100.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1200.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1200.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1200.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\1200.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2100.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2150.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2150.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2150.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2150.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2170.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2170.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2170.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2170.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2200.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2200.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2200.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\2200.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4100.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4105.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4105.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4105.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\4105.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\6100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\Programme\Hewlett-Packard\Digital Imaging\Product\6100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\Programme\Hewlett-Packard\Digital Imaging\Product\6100.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\Programme\Hewlett-Packard\Digital Imaging\Product\6100.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\WINDOWS\Installer\1c46cc5.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\WINDOWS\Installer\1c46cc5.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\WINDOWS\Installer\1c46cc5.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\WINDOWS\Installer\1c46cc5.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\WINDOWS\Installer\1c46ccc.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\WINDOWS\Installer\1c46ccc.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\WINDOWS\Installer\1c46ccc.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\WINDOWS\Installer\1c46ccc.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\WINDOWS\Installer\1c46cd1.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Infiziert: Trojan.Patched.C

C:\WINDOWS\Installer\1c46cd1.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Desinfektion fehlgeschlagen

C:\WINDOWS\Installer\1c46cd1.msi=>(Embedded EXE)=>(CAB Sfx r)=>hh.exe


Gelöscht

C:\WINDOWS\Installer\1c46cd1.msi=>(Embedded EXE)=>(CAB Sfx r)


Aktualisieren fehlgeschlagen

C:\WINDOWS\system32\mljjiff.dll


Infiziert: DeepScan:Generic.Malware.SYddldg.2D6146D1

C:\WINDOWS\system32\mljjiff.dll


Desinfektion fehlgeschlagen

C:\WINDOWS\system32\mljjiff.dll


Löschung fehlgeschlagen


3. Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 23:51:29, on 29.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Chrissie\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\afchfwvf.dll",setvm
O4 - HKLM\..\Run: [kis] "C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Hinzufügen zu Steganos Anti-Banner - C:\Programme\Steganos\Steganos Internet Security 2007\\ie_banner_deny.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: Web-AntiVirus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Steganos\Steganos Internet Security 2007\scieplugin.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklu ... oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62D5DB00-C133-4115-9C75-1675FE044A74}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Steganos\STEGAN~1\adialhk.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Steganos Internet Security 2007 (AVP) - Unknown owner - C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Es sind für meinen Geschmack etwas viele svchost.exe gleichzeitig am Werk...da könnte ein Schädling drinnen sein...

Dann ist mir noch etwas Interessantes aufgefallen:

[kis] "C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe

Seit wann benützt Steganos die exes mit dem gleichen Namen wie Kaspersky Internet Security bzw. Kaspersky Anti-Virus? Und warum steht da kis, was eig. immer für Kaspersky Internet Security steht?

Keti1985

---------------------------------------------------------------------

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DllRunning

Files to delete:
C:\WINDOWS\system32\lkkmp.ini2
C:\WINDOWS\system32\lkkmp.bak1
C:\WINDOWS\system32\lkkmp.bak2
C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\ClickToFindandFixErrors_RON.ico
C:\WINDOWS\system32\wnscptr.exe
C:\WINDOWS\system32\avcom.log
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\lkkmp.ini
C:\WINDOWS\system32\lkkmp.tmp
C:\WINDOWS\system32\lmoqr.ini
C:\WINDOWS\system32\rqoml.dll
C:\WINDOWS\system32\pmkkl.dll
C:\WINDOWS\system32\gffhk.ini2
C:\WINDOWS\system32\gffhk.tmp
C:\WINDOWS\system32\gffhk.bak1
C:\WINDOWS\system32\ddeeg.ini2
C:\WINDOWS\system32\fvwfhcfa.ini
C:\WINDOWS\system32\ddeeg.tmp
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\unsvchosts.lzma
C:\WINDOWS\system32\mljjiff.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

1. Combofix log

"Chrissie" - 07-01-30 17:55:17 Service Pack 2
ComboFix 07.01.30 - Running from: "C:\Dokumente und Einstellungen\Chrissie\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\unsvchosts.lzma
C:\WINDOWS\REGEDIT.com
C:\Programme\Outerinfo
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\DOKUME~1
C:\qoobox\purity\DOKUME~1\Chrissie
C:\qoobox\purity\DOKUME~1\Chrissie\Anwendungsdaten
C:\qoobox\purity\DOKUME~1\Chrissie\Anwendungsdaten\from.txt
C:\qoobox\purity\DOKUME~1\Chrissie\Anwendungsdaten\STEM~1
C:\qoobox\purity\DOKUME~1\Chrissie\Anwendungsdaten\STEM~1\n?pdb.exe
C:\qoobox\purity\WINDOWS\system32\CROSOF~1
C:\qoobox\purity\WINDOWS\system32\CROSOF~1\CROSOF~1
C:\qoobox\purity\WINDOWS\system32\CROSOF~1\smss.exe


((((((((((((((((((((((((((((((( Files Created from 2006-12-30 to 2007-01-30 ))))))))))))))))))))))))))))))))))


2007-01-29 23:41 <DIR> d-------- C:\Avenger
2007-01-29 15:29 1,558 ---hs---- C:\WINDOWS\system32\lkkmp.ini2
2007-01-28 16:25 <DIR> d-------- C:\Programme\Steganos
2007-01-28 16:25 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Steganos
2007-01-28 10:24 <DIR> d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\WholeSecurity
2007-01-27 22:43 <DIR> d-------- C:\Programme\Mozilla Firefox
2007-01-25 20:57 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2007-01-24 19:43 <DIR> d-------- C:\Programme\Common Files
2007-01-24 17:13 <DIR> d--hs---- C:\WA6P
2007-01-24 17:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006
2007-01-24 16:40 475,436 ---hs---- C:\WINDOWS\system32\lkkmp.bak1
2007-01-24 00:01 5,632 --a------ C:\WINDOWS\system32\drivers\EKBfltr.sys
2007-01-24 00:01 <DIR> d-------- C:\fsc.tmp
2007-01-23 22:25 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-01-23 22:25 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-01-23 22:25 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-01-23 22:25 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-01-23 22:23 153,600 --a------ C:\WINDOWS\R.COM
2007-01-23 22:23 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-01-23 21:13 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Anwendungsdaten\PC Tools
2007-01-23 19:09 475,170 ---hs---- C:\WINDOWS\system32\lkkmp.bak2
2007-01-23 18:39 277,166 ---hs---- C:\WINDOWS\system32\rqoml.dll
2007-01-23 18:39 277,166 ---hs---- C:\WINDOWS\system32\pmkkl.dll
2007-01-23 17:20 475,685 ---hs---- C:\WINDOWS\system32\gffhk.ini2
2007-01-23 17:11 475,170 ---hs---- C:\WINDOWS\system32\gffhk.bak1
2007-01-23 16:47 475,952 ---hs---- C:\WINDOWS\system32\ddeeg.ini2
2007-01-23 16:38 475,170 ---hs---- C:\WINDOWS\system32\ddeeg.bak1
2007-01-23 16:35 2 --a------ C:\WINDOWS\system32\wnscptr.exe
2007-01-23 16:15 22,029 ---hs---- C:\WINDOWS\system32\mljjiff.dll
2007-01-23 15:42 <DIR> d-------- C:\KAV
2007-01-22 20:57 <DIR> d--h----- C:\WINDOWS\PIF
2007-01-21 13:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-01-17 15:06 <DIR> d-------- C:\Programme\Total Video Converter
2007-01-14 15:42 <DIR> d-------- C:\Programme\AviSynth 2.5
2007-01-14 14:45 <DIR> d-------- C:\Programme\Xilisoft
2007-01-14 14:08 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2007-01-14 14:08 <DIR> d-------- C:\Programme\PDF Passwort Knacker 1
2007-01-13 22:55 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Adobe
2007-01-13 22:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-01-13 19:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Elaborate Bytes
2007-01-13 13:03 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\PixelPlanet
2007-01-13 13:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\XPressUpdate
2007-01-13 13:01 <DIR> d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\PixelPlanet
2007-01-13 13:00 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-01-11 20:32 <DIR> d-------- C:\WINDOWS\ie7updates
2007-01-07 12:44 <DIR> d-------- C:\Programme\MSN Messenger
2007-01-05 21:42 9,488 --a------ C:\WINDOWS\system32\sporder.dll
2007-01-05 21:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Panda Software
2007-01-02 21:15 <DIR> d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\ICQ6
2006-12-31 13:46 <DIR> d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\dvdcss
2006-12-31 13:37 <DIR> d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\vlc
2006-12-31 13:35 <DIR> d-------- C:\Programme\VideoLAN


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

Rootkit driver pe386 is present. A rootkit scan is required

2007-01-24 23:20 -------- d-------- C:\Programme\spyware doctor
2007-01-24 23:20 -------- d-------- C:\Programme\Gemeinsame Dateien\avm
2007-01-24 23:20 -------- d-------- C:\Programme\fritz!dsl
2007-01-24 23:20 -------- d-------- C:\Programme\avmwlanstick
2007-01-24 23:19 -------- d-------- C:\Programme\apoint2k
2007-01-23 15:44 -------- d-------- C:\Programme\kaspersky lab
2007-01-21 13:44 -------- d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\symantec
2007-01-21 12:23 -------- d--h----- C:\Programme\installshield installation information
2007-01-17 14:29 -------- d---s---- C:\DOKUME~1\Chrissie\Anwendungsdaten\microsoft
2007-01-17 14:02 -------- d-------- C:\Programme\free wma to mp3 converter
2007-01-14 00:51 -------- d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\adobe
2007-01-13 19:35 -------- d-------- C:\Programme\elaborate bytes
2007-01-07 14:20 -------- d-------- C:\Programme\icqlite
2006-12-28 15:29 -------- d-------- C:\Programme\slysoft
2006-12-28 14:22 -------- d-------- C:\Programme\electronic arts
2006-12-28 13:15 -------- d-------- C:\Programme\maxis
2006-12-26 13:54 34760 --a------ C:\WINDOWS\system32\drivers\ElbyCDFL.sys
2006-12-23 18:29 -------- d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\google
2006-12-23 18:24 -------- d-------- C:\Programme\google
2006-12-23 18:23 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2006-12-20 23:30 -------- d-------- C:\Programme\java
2006-12-15 21:28 -------- d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\bittorrent
2006-12-14 00:41 15440 --a------ C:\WINDOWS\system32\drivers\ElbyCDIO.sys
2006-12-14 00:41 11984 --a------ C:\WINDOWS\system32\drivers\ElbyDelay.sys
2006-12-13 21:24 89296 --a------ C:\WINDOWS\system32\elbycdio.dll
2006-12-13 19:12 -------- d-------- C:\DOKUME~1\Chrissie\Anwendungsdaten\adobeum
2006-12-08 22:02 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2006-12-03 20:04 48424 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-11-19 17:30 0 --a------ C:\DOKUME~1\Chrissie\Anwendungsdaten\sversion.ini
2006-11-19 17:00 36864 --a------ C:\WINDOWS\uinst001.exe
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-01 20:03 125 ---hs---- C:\DOKUME~1\Chrissie\Anwendungsdaten\.zreglib


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"VTTimer"="VTTimer.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"Apoint"="C:\\Programme\\Apoint2K\\Apoint.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"DllRunning"="rundll32.exe \"C:\\WINDOWS\\system32\\afchfwvf.dll\",setvm"
"kis"="\"C:\\Programme\\Steganos\\Steganos Internet Security 2007\\avp.exe\""
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Chrissie^Startmenü^Programme^Autostart^Microsoft-Indexerstellung.lnk]
"path"="C:\\Dokumente und Einstellungen\\Chrissie\\Startmenü\\Programme\\Autostart\\Microsoft-Indexerstellung.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft-Indexerstellung.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\FINDFAST.EXE "
"item"="Microsoft-Indexerstellung"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Chrissie^Startmenü^Programme^Autostart^Office-Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\Chrissie\\Startmenü\\Programme\\Autostart\\Office-Start.lnk"
"backup"="C:\\WINDOWS\\pss\\Office-Start.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA.EXE -b"
"item"="Office-Start"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\PROGRA~1\Steganos\STEGAN~1\adialhk.dll"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{63DEC027-FB23-462C-8C0D-BFC2433999E7}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"=""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Spyware Doctor"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{62322782-41ca-11db-8231-00040e09a868}]
Shell\AutoRun\command E:\preinst.exe

Completion time: 07-01-30 18:04:43

2. Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jobienrm

*******************

Script file located at: \??\C:\ucwctrd^.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\lkkmp.ini2 not found!
Deletion of file C:\WINDOWS\system32\lkkmp.ini2 failed!

Could not process line:
C:\WINDOWS\system32\lkkmp.ini2
Status: 0xc0000034



File C:\WINDOWS\system32\lkkmp.bak1 not found!
Deletion of file C:\WINDOWS\system32\lkkmp.bak1 failed!

Could not process line:
C:\WINDOWS\system32\lkkmp.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\lkkmp.bak2 not found!
Deletion of file C:\WINDOWS\system32\lkkmp.bak2 failed!

Could not process line:
C:\WINDOWS\system32\lkkmp.bak2
Status: 0xc0000034

File C:\WINDOWS\system32\Uninstall.ico deleted successfully.
File C:\WINDOWS\system32\Help.ico deleted successfully.
File C:\WINDOWS\system32\ClickToFindandFixErrors_RON.ico deleted successfully.
File C:\WINDOWS\system32\wnscptr.exe deleted successfully.
File C:\WINDOWS\system32\avcom.log deleted successfully.
File C:\WINDOWS\system32\stera.log deleted successfully.


File C:\WINDOWS\system32\lkkmp.ini not found!
Deletion of file C:\WINDOWS\system32\lkkmp.ini failed!

Could not process line:
C:\WINDOWS\system32\lkkmp.ini
Status: 0xc0000034



File C:\WINDOWS\system32\lkkmp.tmp not found!
Deletion of file C:\WINDOWS\system32\lkkmp.tmp failed!

Could not process line:
C:\WINDOWS\system32\lkkmp.tmp
Status: 0xc0000034

File C:\WINDOWS\system32\lmoqr.ini deleted successfully.
File C:\WINDOWS\system32\rqoml.dll deleted successfully.


File C:\WINDOWS\system32\pmkkl.dll not found!
Deletion of file C:\WINDOWS\system32\pmkkl.dll failed!

Could not process line:
C:\WINDOWS\system32\pmkkl.dll
Status: 0xc0000034

File C:\WINDOWS\system32\gffhk.ini2 deleted successfully.
File C:\WINDOWS\system32\gffhk.tmp deleted successfully.
File C:\WINDOWS\system32\gffhk.bak1 deleted successfully.
File C:\WINDOWS\system32\ddeeg.ini2 deleted successfully.
File C:\WINDOWS\system32\fvwfhcfa.ini deleted successfully.
File C:\WINDOWS\system32\ddeeg.tmp deleted successfully.
File C:\WINDOWS\system32\ddeeg.bak1 deleted successfully.


File C:\WINDOWS\system32\unsvchosts.lzma not found!
Deletion of file C:\WINDOWS\system32\unsvchosts.lzma failed!

Could not process line:
C:\WINDOWS\system32\unsvchosts.lzma
Status: 0xc0000034



File C:\WINDOWS\system32\mljjiff.dll not found!
Deletion of file C:\WINDOWS\system32\mljjiff.dll failed!

Could not process line:
C:\WINDOWS\system32\mljjiff.dll
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DllRunning
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|DllRunning failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

3. Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:36:10, on 30.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Chrissie\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {63DEC027-FB23-462C-8C0D-BFC2433999E7} - C:\WINDOWS\system32\mljjiff.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\bwildabs.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {B48D0AB1-CCA1-4C6A-91EE-364C6A6A0D44} - C:\WINDOWS\system32\pmkkl.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [kis] "C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Hinzufügen zu Steganos Anti-Banner - C:\Programme\Steganos\Steganos Internet Security 2007\\ie_banner_deny.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: Web-AntiVirus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Steganos\Steganos Internet Security 2007\scieplugin.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklu ... oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62D5DB00-C133-4115-9C75-1675FE044A74}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Steganos\STEGAN~1\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Steganos Internet Security 2007 (AVP) - Unknown owner - C:\Programme\Steganos\Steganos Internet Security 2007\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Hallo
ich bekomme keine laengeren Logs hier ins Forum, habe schon den admin informiert.
um dich icht haengen zu lassen, melde dich bei protecus an und dort reinigen wir weiter
http://board.protecus.de/t28023-1.htm#260533

Zitat Nikita:


noch mal der avenger
Zitat:

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjiff
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkkl

Folders to delete:
C:\WA6P
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006


2.
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.


Avenger bring wieder die Fehlermeldung.


gmer bericht:

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-31 23:36:01
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous
Code \??\C:\WINDOWS\system32:lzx32.sys pIofCallDriver

---- Threads - GMER 1.0.12 ----

Thread 4:112 819B43E0
Thread 4:116 819B43E0
Thread 4:120 8198A820
Thread 4:124 8198A820
Thread 4:128 8198A820
Thread 4:404 819B43E0
Thread 4:540 819B43E0
Thread 4:432 FF2807D0

---- Services - GMER 1.0.12 ----

Service C:\WINDOWS\system32:lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!

---- EOF - GMER 1.0.12 ----


Warum ist mein Beitrag plözlich unter einem anderne Link? Deine anweisungen von vorhin existieren in dem Thread ja gar net. Komisch.

melde dich bei protecus an, sonst muss ich immer alles umkopieren - antworte dort
http://board.protecus.de/t28023-lastpage.htm#bottom