Hi,
mir wurde hier schon mal sehr zufriedenstellend geholfen, darum versuch ich es jetzt nochmal.
Ich hab letzte Woche zweimal eine Meldung von meinem Virenscanner (Avira AnitVir Personal) erhalten: "Ein Virus versucht auf ihren Computer zuzugreifen" oder so ähnlich.
Beide Male habe ich "löschen" bzw. "Zugriff verweigern" ausgewählt.
Seit diesem Zeitpunkt braucht mein Laptop immer sehr lang (ca. 5 Minuten) zum Herunterfahren. Sobald ich "Ausschalten" anklicke, läuft die Festplatte minutenlang ohne Pause. Das war vorher nie der Fall, außer es wurden noch updates installiert.
Was kann ich tun?

Danke im Voraus

Hallo,

damit wir sehen können, welche Prozesse auf deinem Computer laufen, erstelle ein Logfile mit HijackThis.

Benenne die Programmdatei von HijackThis in hjt.com um, damit das Programm von anderen nicht so leicht aufgespürt werden kann.
Anleitung zu HijackThis: http://madeonapc.de/kb/?display=009

Hi,
danke für deine prompte Hilfe. Ich selbst bin ein paar Tage abwesend gewesen, so dass ich deine Nachricht heute erst sah.
Ich hab ein logfile mit HJT erstellt.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:04, on 24.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\KONNI\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/defau ... l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 9016987890
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 7823 bytes

Hallo

Mach bitte folgendes:

Spybot Teatimer diesen zuerst dauerhaft abstellen (Erweitert -> Werkzeuge -> Resident --> Häkchen bei Teatimer entfernen -> PC Neustart).

CCLEANER ausführen

Malwarebytes anwenden, alle Funde löschen lassen + Report posten

ComboFix – auf dem Desktop speichern.
Beende nun dein Antiviren- & evtl. Antispywareprogramm <-- Wichtig
Doppelklicken auf: combofix.exe
Warnmeldung 0/100 ... ignorieren!
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.
Die Datenträgerbereinigung abwarten (bis ca. 20 Min/ Neustart kann erfolgen)
mit der rechten Maustaste den Text markieren -> kopieren -> vollständig posten

Hi Humdinger,

ich hab jetzt alles so gemacht, wie du mir beschrieben hast.
Hier die postings:


Malwarebytes' Anti-Malware 1.11
Datenbank Version: 677

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 138656
Scan Dauer: 1 hour(s), 32 minute(s), 16 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\_Tuning\XP-Tool4\iea.exe (Rogue.PornCleanser) -> Quarantined and deleted successfully.










ComboFix 08-04-22.5 - KONNI 2008-04-25 0:11:10.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\KONNI\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_IPRIP
-------\Service_6to4
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-03-24 bis 2008-04-24 ))))))))))))))))))))))))))))))
.

2008-04-24 18:59 . 2008-04-24 18:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-24 18:59 . 2008-04-24 18:59 <DIR> d-------- C:\Dokumente und Einstellungen\KONNI\Anwendungsdaten\Malwarebytes
2008-04-24 18:59 . 2008-04-24 18:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-24 14:05 . 2008-04-24 14:05 <DIR> d-------- C:\Programme\Trend Micro
2008-04-07 11:23 . 2008-04-07 11:23 <DIR> d-------- C:\Programme\iPod
2008-04-07 11:23 . 54,156 C:\WINDOWS\QTFont.qfn
2008-04-07 11:23 . 1,409 C:\WINDOWS\QTFont.for
2008-04-04 16:01 . 2008-04-04 16:01 2 --a------ C:\WINDOWS\scanreg.ini
2008-04-04 14:24 . 2008-04-04 14:24 <DIR> d-------- C:\Programme\_Tuning
2008-04-04 14:05 . 2007-11-22 13:43 78,720 --------- C:\WINDOWS\system32\dllcache\sdbus.sys
2008-04-04 14:05 . 2007-11-22 13:23 12,032 --------- C:\WINDOWS\system32\dllcache\sffdisk.sys
2008-04-04 14:05 . 2007-11-22 13:23 11,008 --------- C:\WINDOWS\system32\dllcache\sffp_sd.sys
2008-04-04 14:05 . 2007-11-22 13:23 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-04-04 14:05 . 2007-11-22 13:23 10,240 --------- C:\WINDOWS\system32\dllcache\sffp_mmc.sys
2008-04-04 13:56 . 2007-12-31 13:56 297,984 --------- C:\WINDOWS\system32\dllcache\msctf.dll
2008-04-04 13:50 . 2007-04-10 12:08 60,032 --------- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-04-04 13:44 . 2007-04-25 16:19 465,408 --------- C:\WINDOWS\system32\imapi2fs.dll
2008-04-04 13:44 . 2007-04-25 16:19 465,408 --------- C:\WINDOWS\system32\dllcache\imapi2fs.dll
2008-04-04 13:44 . 2007-04-25 16:19 320,512 --------- C:\WINDOWS\system32\imapi2.dll
2008-04-04 13:44 . 2007-04-25 16:19 320,512 --------- C:\WINDOWS\system32\dllcache\imapi2.dll
2008-04-04 13:44 . 2007-04-25 13:41 62,592 --------- C:\WINDOWS\system32\dllcache\cdrom.sys
2008-04-04 13:43 . 2008-04-04 13:43 <DIR> d-------- C:\WINDOWS\system32\bits
2008-04-04 13:43 . 2007-05-14 14:51 178,176 --------- C:\WINDOWS\system32\dllcache\repdrvfs.dll
2008-04-04 13:42 . 2007-05-24 15:19 408,064 --------- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-04-04 13:42 . 2007-05-24 15:19 18,944 --------- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-04-04 13:42 . 2007-05-24 15:19 8,192 --------- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-04-04 13:42 . 2007-05-24 15:19 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-04-04 13:42 . 2007-05-24 15:19 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-04-04 13:42 . 2007-05-24 15:19 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-04-04 13:38 . 2008-04-04 13:38 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-04 13:32 . 2007-02-19 12:32 343,040 --------- C:\WINDOWS\system32\dllcache\msvcrt.dll
2008-04-04 13:31 . 2008-04-04 13:31 <DIR> d-------- C:\Programme\MSXML 6.0
2008-04-04 13:19 . 2006-10-04 15:33 216,576 --------- C:\WINDOWS\system32\dllcache\osk.exe
2008-04-04 13:19 . 2006-10-04 15:33 73,216 --------- C:\WINDOWS\system32\dllcache\magnify.exe
2008-04-04 13:19 . 2006-10-04 15:32 55,296 --------- C:\WINDOWS\system32\dllcache\narrator.exe
2008-04-04 13:19 . 2006-10-04 15:33 50,176 --------- C:\WINDOWS\system32\dllcache\utilman.exe
2008-04-04 13:19 . 2006-10-04 15:38 36,352 --------- C:\WINDOWS\system32\dllcache\umandlg.dll
2008-04-04 13:18 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2008-04-04 13:18 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2008-04-04 13:17 . 2006-10-23 13:14 30,208 --------- C:\WINDOWS\system32\dllcache\usbehci.sys
2008-04-04 13:17 . 2006-10-23 13:14 17,152 --------- C:\WINDOWS\system32\dllcache\usbohci.sys
2008-04-04 12:59 . 2008-04-04 12:59 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-04-04 12:46 . 2005-05-05 02:03 461,672 --------- C:\WINDOWS\system32\dllcache\micross.ttf
2008-04-04 12:46 . 2005-05-05 02:03 383,804 --------- C:\WINDOWS\system32\dllcache\tahoma.ttf
2008-04-04 12:46 . 2005-05-05 02:03 355,680 --------- C:\WINDOWS\system32\dllcache\tahomabd.ttf
2008-04-04 12:46 . 2006-01-19 21:32 265,948 --------- C:\WINDOWS\system32\dllcache\locale.nls
2008-04-04 12:46 . 2006-01-19 21:32 262,148 --------- C:\WINDOWS\system32\dllcache\sortkey.nls
2008-04-04 12:46 . 2006-05-12 06:04 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2008-04-04 12:46 . 2006-05-12 06:04 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2008-04-04 12:46 . 2006-05-12 06:04 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2008-04-04 12:46 . 2006-05-12 06:04 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2008-04-04 12:27 . 2008-04-04 12:27 <DIR> d-------- C:\WINDOWS\system32\de
2008-04-04 12:25 . 2006-01-10 01:10 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll
2008-04-04 12:25 . 2006-01-10 01:11 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll
2008-04-04 12:25 . 2006-01-11 03:20 33,792 --------- C:\WINDOWS\system32\mmcperf.exe
2008-04-04 12:15 . 2005-07-30 02:01 121,856 --------- C:\WINDOWS\system32\drivers\usbvideo.sys
2008-04-04 11:42 . 2008-04-06 10:39 <DIR> d-------- C:\Programme\Free Download Manager
2008-04-04 11:42 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-04-04 11:42 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-04-04 11:42 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-04-04 11:42 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2008-04-04 11:42 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-04-04 11:42 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2008-04-04 11:42 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-04-04 11:42 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-04-04 11:40 . 2008-04-06 10:40 <DIR> d-------- C:\Programme\Defrag NT
2008-04-04 11:39 . 2008-04-04 11:39 <DIR> d-------- C:\Programme\MSBuild
2008-04-04 11:37 . 2008-04-04 11:37 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-04-04 11:36 . 2008-04-04 11:36 <DIR> d-------- C:\Programme\Reference Assemblies
2008-04-04 11:35 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-28 15:13 . 2008-04-07 11:24 <DIR> d-------- C:\Programme\iTunes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 13:17 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-24 13:16 --------- d-----w C:\Programme\SpywareBlaster
2008-04-17 08:27 --------- d-----w C:\Programme\PokerStars
2008-04-14 07:15 --------- d-----w C:\Programme\Dl_cats
2008-04-11 08:56 --------- d-----w C:\Programme\Java
2008-04-08 11:01 149,120 ----a-w C:\WINDOWS\system32\drivers\uiwbrdr.SYS
2008-04-07 09:21 --------- d-----w C:\Programme\QuickTime
2008-04-01 14:54 --------- d-----w C:\Programme\ICQToolbar
2008-03-29 18:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-29 18:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-29 18:48 --------- d-----w C:\Dokumente und Einstellungen\KONNI\Anwendungsdaten\TVcentral-Core
2008-03-28 13:31 --------- d-----w C:\Dokumente und Einstellungen\KONNI\Anwendungsdaten\Apple Computer
2008-03-21 20:29 --------- d-----w C:\Programme\Google
2008-03-21 16:25 --------- d-----w C:\Programme\Sceneo
2008-03-21 15:50 --------- d-----w C:\Programme\Registry Shower 2008
2008-02-27 14:01 --------- d-----w C:\Programme\EasyFit
2008-02-18 14:35 691,545 ----a-w C:\WINDOWS\unins000.exe
2006-04-18 12:44 5,651,160 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
2004-07-09 02:27 1,531 ----a-w C:\Programme\dsetup.inf
2006-05-05 17:59 104 --sh--r C:\WINDOWS\system32\7B2F600771.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2006-05-05 17:59 6,580 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2004-08-10 15:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe

2004-08-10 15:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll

2004-08-10 15:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe

2004-08-10 15:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-10 15:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2004-08-10 15:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15:00 15360]
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.exe" [2008-04-08 13:02 1204224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-12-06 11:45 839680]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-14 17:05 262401]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"DLCFCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll" [2005-09-08 07:55 73728]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-11 18:02 185632]
"PTBSync"="C:\Programme\PTBSync\PTBSync.exe" [2008-02-02 15:09 334336]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 07:58 998912]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 15:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"vidc.yv12"= yv12vfw.dll
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
backup=C:\WINDOWS\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^LUMIX Simple Viewer.lnk]
backup=C:\WINDOWS\pss\LUMIX Simple Viewer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Broadcom Wireless Manager UI]
--a------ 2005-12-19 16:08 1347584 C:\WINDOWS\system32\WLTRAY.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-10 15:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 12:09 49152 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowLOMControl]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-11-29 19:56 761947 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"iPodService"=3 (0x3)
"IDriverT"=3 (0x3)
"Fax"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CoolSwitch"=C:\WINDOWS\system32\taskswitch.exe
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\AntiVir PersonalEdition Classic\\update.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\dlcfcoms.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\dlcfpswx.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 uiwbrdr;uiwbrdr;C:\WINDOWS\system32\DRIVERS\uiwbrdr.sys [2008-04-08 13:01]
R2 PortTalk;PortTalk;C:\WINDOWS\system32\Drivers\PtbTalk.sys [2008-02-02 15:09]
S2 BulkUsb;MwBridge510;C:\WINDOWS\system32\Drivers\usbscan.sys [2004-08-03 22:58]
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 14:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 11:21]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2004-08-10 15:00]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\system32\svchost.exe [2004-08-10 15:00]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2004-08-10 15:00]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2004-08-10 15:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
Inhalt des "geplante Tasks" Ordners
"2008-04-04 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-04-04 11:28:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2006-04-19 18:00:00 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\system32\OOBE\oobebaln.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 00:18:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\0.log 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\ArcSoft\Software Suite\PhotoImpression\share\pihook.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\WLTRYSVC.EXE
C:\WINDOWS\system32\BCMWLTRY.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Dell\NicConfigSvc\NicConfigSvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-25 0:24:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-24 22:23:42

14 Verzeichnis(se), 25,873,928,192 Bytes frei
16 Verzeichnis(se), 28,077,158,400 Bytes frei

287 --- E O F --- 2008-04-09 16:01:23

Hallo

Mach bitte mal folgendes:

Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

CCLEANER nochmal ausführen
und nun auch
links unter Cleaner auf Registry->Nach Fehlern suchen->Änderungen in der Registry sichern->Ja->speichern->alle Funde beheben lassen
CCleaner beenden.

Weiter mit:
Doppelklick-->beim Arbeitsplatz-->rechte Maustaste-->Eigenschaften-->Extras-->setze bei beiden ein Häkchen-->Starten-->Meldung kommt-->OK--> PC Neustart - abwarten bis das System neu gestartet ist.

Erneuter Neustart
Boote nun aber in den abgesicherten Modus (bei Neustart F8 drücken)

Im abgesicherten Modus nun:
Start-->Programme-->Systenprogramme-->Defragmentierung- vollständig durchführen lassen

PC Neustart

Onlinescan mit F-SECURE
http://support.f-secure.de/ger/home/ols.shtml
Benötigt wird ActiveX --> Internet Explorer
Report posten

neuen HijackThis log posten

Berichte ob noch Probleme bestehen

Weiter mit:
Doppelklick-->beim Arbeitsplatz-->rechte Maustaste-->Eigenschaften-->Extras-->setze bei beiden ein Häkchen-->Starten-->Meldung kommt-->OK--> PC Neustart - abwarten bis das System neu gestartet ist.

-----------------------------------------------------------------------------------------

Hab den CCleaner durchlaufen lassen und alles gelöscht.
Jetzt finde ich aber in den Eigenschaften von Arbeitsplatz keine Extras und kann auch keine Häkchen machen. ???

Doppelklick beim Arbeitsplatz. Dann öffnen sich die Laufwerke. Mit der rechten Maustaste auf das Laufwerk C: , dann weiter wie beschrieben (Eigenschaften ...)

Hi,

hab jetzt alles so gemacht wie von dir beschrieben. Die Scan-Reports und Log-files hab ich eingefügt.
Es tauchen aus meiner Sicht noch folgende Probleme auf:
1. Das Herunterfahren des Laptops dauert nach wie vor noch ca. 5 Minuten.
2. Der Neustart im abgesicherten Modus dauert etwa eine halbe Stunde, wobei in dieser Zeit auf meinem schwazen Bildschirm nur ein blinkender schwarzer Strich in der oberen linken Ecke zu sehen war.
3. Die Defragmentierung im abgesicherten Modus wurde von Windows nicht für nötig erachtet, ich machte dieses trotzdem. Es dauerte heute Nacht mehrere Stunden. Ist das normal???




Scan-Report F-Secure


Scanning Report
Saturday, April 26, 2008 10:48:43 - 12:35:45
Computer name: LAPTOP
Scanning type: Scan system for malware, rootkits
Target: C:\

Result: 1 malware found
Tracking Cookie (spyware)
· System

Statistics
Scanned:
· Files: 60954
· System: 4616
· Not scanned: 10
Actions:
· Disinfected: 0
· Renamed: 0
· Deleted: 0
· None: 1
· Submitted: 0
Files not scanned:
· C:\HIBERFIL.SYS
· C:\PAGEFILE.SYS
· C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
· C:\WINDOWS\SYSTEM32\CONFIG\SAM
· C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
· C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
· C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
· C:\DOKUMENTE UND EINSTELLUNGEN\KONNI\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\WEB.DE\WEB.DE SMARTDRIVE MANAGER\CACHE\INDEX
· C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\CC890B4FBE7C8D7035F0C8822F216CBF_5799F3C4-6F0E-478C-A095-64FE293CE115
· C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\D33C27C618D3AC0435084A16EB0845FD_5799F3C4-6F0E-478C-A095-64FE293CE115

Options
Scanning engines:
· F-Secure USS: 2.30.0
· F-Secure Blacklight: 1.0.64
· F-Secure Hydra: 2.8.8110, 2008-04-26
· F-Secure Pegasus: 1.20.0, 2008-02-28
· F-Secure AVP: 7.0.171, 2008-04-26
Scanning options:
· Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
· Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.












Logfile HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:55, on 26.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/defau ... l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ShowLOMControl]
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Programme\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 9016987890
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 8512 bytes

Hallo.

1.
nimm den BitTorrent aus dem Startmenü

2.
fixe mit Hijackthis

Code: Alles auswählen

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DLCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCFtime.dll,_RunDLLEntry@16


3.
deinstalliere den F-Secure wieder.
deinstalliere: C:\Programme\Registry Shower 2008

4.
wende an: windsdoorcleaner
http://virus-protect.org/windsdoorcleaner.html

5.
wende sdfix an (muss im abgesicherten modus sein) - poste hier den report
http://virus-protect.org/artikel/tools/sdfix.html

Ok, ich hab alles erledigt.
Der Neustart im abgesicherten Modus dauerte wieder 28 Minuten.


SDFix: Version 1.175
Run by KONNI on 26.04.2008 at 16:40

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\KONNI\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 16:48:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\7971f918-a847-4430-9279-4a52d1efe18d]
"CurrentCacheFile"="C:\WINDOWS\SoftwareDistribution\EventCache\{4C1BDFB2-BE52-4472-B102-313AD82A7481}.bin"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\AntiVir PersonalEdition Classic\\update.exe"="C:\\Programme\\AntiVir PersonalEdition Classic\\update.exe:*:Enabled:update.exe"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\WINDOWS\\system32\\dlcfcoms.exe"="C:\\WINDOWS\\system32\\dlcfcoms.exe:*:Enabled:Color Printer 725 Server"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\dlcfpswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\dlcfpswx.exe:*:Enabled:Color Printer 725 Printer Status"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\DOKUME~1\KONNI\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 18 Apr 2006 56 A.SHR --- "C:\i386\7B2F600771.sys"
Tue 18 Apr 2006 3,766 A.SH. --- "C:\i386\KGyGaAvL.sys"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Fri 5 May 2006 104 ..SHR --- "C:\WINDOWS\system32\7B2F600771.sys"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Fri 5 May 2006 6,580 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 19 Apr 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"
Tue 30 Jan 2007 72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"
Fri 27 Oct 2006 16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"
Mon 20 Aug 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun 4 Nov 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"
Sat 5 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4844df1d57a292079101da42a26d7d72\BIT15.tmp"
Sat 5 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bc066f3f60df1b38218903dd0d40ce98\BIT16.tmp"
Sun 18 Feb 2007 7,798 A..H. --- "C:\Dokumente und Einstellungen\KONNI\Anwendungsdaten\Microsoft\Office\Shortcut Bar\DesF6.tmp"

Finished!

keine ahnung, was du alles an tweaks angewendet hast... C:\Programme\eRightSoft\ hast du auch geladen.
Haben die probleme begonnen mit eRightSoft ?

Nikita hat geschrieben:keine ahnung, was du alles an tweaks angewendet hast... C:\Programme\eRightSoft\ hast du auch geladen.
Haben die probleme begonnen mit eRightSoft ?

Nein, eRightSoft hab ich schon länger drauf. Ich hab es aber jetzt auch gelöscht, ich brauch es nicht mehr.

nur um sicher zu sein, was an den geöffneten Ports los ist:
wende an + berichte
http://virus-protect.org/portauthority.html

Nikita hat geschrieben:nur um sicher zu sein, was an den geöffneten Ports los ist:
wende an + berichte
http://virus-protect.org/portauthority.html

----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2008-04-26 at 19:48:21

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.

----------------------------------------------------------------------