Prob. mit dem Netzugang - HJT Log anbei

[Miko13]

Hallo!

Ich habe seit 3 Tagen Probleme mit meinem Rechner, die ich nicht in den Griff bekomme. Der Rechner ist im Internet sehr langsam, oftmals öffnen sich Seiten erst nachdem ich 2 -3 mal auf Aktualisieren geklickt habe. Außerdem kann es passieren, dass ich z.B. auf web.de möchte, die Seite angeblich nicht gefunden wird, danach will ich auf google.de und dann steht oben 'http....www.google.de' und angezeigt wird web.de. D.h. ich bekomme unter der aktuell angewählten Seite immer die Seite zu sehen, die ich vorher sehen wollte.

Außerdem kann ich mein HJT Logfile nicht im Netz auswerten lassen, da ich keinen Zugriff auf die Seite bekomme.

Daher hoffe ich mal, dass mir hier geholfen werden kann!

Mein HJT-File ist:

Logfile of HijackThis v1.99.1
Scan saved at 09:01:49, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ANTIVI~1\Firewall\GDFIRE~1.EXE
C:\Programme\AntiVirenKit InternetSecurity\GUI\avkis.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\avk.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\Admin.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWeb.exe
C:\Dokumente und Einstellungen\Miko\Desktop\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxwww.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xx.club-vaio.sony-europe.com/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O12 - Plugin for .MP3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - xxzone.msn.com/binFrameWork/v10/StagingUI.cab40641.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - xxgo.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - xxsympatico.zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - xxsympatico.zone.msn.com/binframework/v10/ZPAChat.cab32846.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - xxupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128163572703
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - xxzone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {809A6301-7B40-4436-A02C-87B8D3D7D9E3} (ZPA_DMNO Object) - xxzone.msn.com/bingame/zpagames/zpa_dmno.cab41096.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - xxcdn2.zone.msn.com/binframework/v10/ZAxRcMgr.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - xxzone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - xxgame02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CAC181B0-4D70-402D-B571-C596A47D0CE0} (CBankshotZoneCtrl Class) - xxsympatico.zone.msn.com/bingame/zpagames/zpa_pool.cab36107.cab
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - xxzone.msn.com/bingame/feed/default/SproutLauncher.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - xxzone.msn.com/binframework/v10/StProxy.cab41227.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - xxzone.msn.com/bingame/zuma/default/popcaploader_v6.cab
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPodNano\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Schöne Grüße,
Miko

[Nikita]

ein eigenartiges Log...wegen der xx vor allen www.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxwww.web.de/

kann es sein, dass AntiVirenKit InternetSecurity ueber den Webfilter diese Verwirrung stiftet ?

---------------------------------------------------------------------------------------------

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - xxgame02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - xxzone.msn.com/bingame/zuma/default/popcaploader_v6.cab

PC neustarten

Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

[Miko13]

Oops... eigentlich wollte ich noch am Ende dazuschreiben, dass ich die ganzen Links mit einem Austausch von "http...usw" gegen xx versehen habe, aber ich musste zur Arbeit und war spät dran! Entschuldige die von mir gestiftete Verwirrung. Ich wollte einfach nur die Hyperlinks rausnehmen. *schäm*

[Nikita]

dann mache alles andere, was ich geschrieben hatte

[Miko13]

Guten Morgen Nikita,

hier ist die gewünschte Echo-Datei:

10)DPF????
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0831-49AA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.10.2005 19:39 <DIR> CONFLICT.1
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
09.02.2005 15:54 1.271 erma.inf
03.11.2005 20:24 495 LegitCheckControl.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
09.09.2005 06:16 126.976 mjolauncher.dll
09.09.2005 06:14 230 mjolauncher.inf
29.06.2005 17:17 227 opuc.inf
26.08.2004 11:12 126.976 popcaploader.dll
18.08.2004 14:47 241 popcaploader.inf
13.09.2004 16:19 249 SproutLauncher.inf
13.09.2004 16:26 159.744 SproutWebLauncher.dll
08.11.2005 17:09 339.496 StagingUI.ocx
07.12.2005 16:30 238.120 StProxy.dll
27.08.2005 12:30 5.065 swflash.inf
26.05.2005 03:19 291 wuweb.inf
23.12.2003 15:52 62.184 ZAxRcMgr.ocx
17.11.2004 22:46 194.600 ZBuddy.ocx
31.01.2005 22:26 117.800 ZIntro.ocx
17.11.2004 22:47 456.744 ZPAChat.ocx
02.12.2005 16:31 850.472 zpa_dmno.ocx
09.05.2005 17:25 1.368.104 zpa_pool.dll
29.04.2005 16:24 155.648 zylomgamesplayer.dll
25.03.2005 16:17 244 ZylomGamesPlayer.inf
23 Datei(en) 4.207.036 Bytes

Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1

28.10.2005 19:39 <DIR> .
28.10.2005 19:39 <DIR> ..
29.04.2005 16:24 155.648 zylomgamesplayer.dll
25.03.2005 16:17 244 ZylomGamesPlayer.inf
2 Datei(en) 155.892 Bytes

Anzahl der angezeigten Dateien:
25 Datei(en) 4.362.928 Bytes
3 Verzeichnis(se), 18.436.587.520 Bytes frei


Ich glaube nicht, dass

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - xxgame02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - xxzone.msn.com/bingame/zuma/default/popcaploader_v6.cab

Malware ist. Das sind die üblichen Einträge, wenn man im zone.msn Netzwerk spielt. Ich kann die Einträge löschen, aber sobald ich wieder Lust auf Backgammon o.ä. bekomme, werden sie wieder auftauchen.

Schöne Grüße,
Miko

[Nikita]

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

-------------------------------------------------------------------------------

PopCapLoader.dll [FUND!] Ist das Trojanische Pferd TR/Hijack.PopCapLoa
C:\WINDOWS\Downloaded Program Files\zylomgamesplayer.dll -> Spyware.HotBar

[Miko13]

Hi Nikita,

die Daten der datfind.bat sind:


Verzeichnis von C:\WINDOWS\system32

01.03.2006 21:34 43.573 nvapps.xml
01.03.2006 08:42 1.158 wpa.dbl
31.01.2006 13:32 52.858 interceptor.sys
26.01.2006 15:07 122.136 FNTCACHE.DAT
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
10.12.2005 04:16 180.224 NVUNINST.EXE
10.12.2005 03:06 286.720 nvnt4cpl.dll
10.12.2005 03:06 3.955.456 nv4_disp.dll
10.12.2005 03:06 241.664 nvrseng.dll
10.12.2005 03:06 266.240 nvrsnl.dll
10.12.2005 03:06 262.144 nvrsptb.dll
10.12.2005 03:06 262.144 nvrsru.dll
10.12.2005 03:06 249.856 nvrssk.dll
10.12.2005 03:06 249.856 nvrssl.dll
10.12.2005 03:06 245.760 nvrssv.dll
10.12.2005 03:06 249.856 nvrstr.dll
10.12.2005 03:06 217.088 nvrszhc.dll
10.12.2005 03:06 245.760 nvrsda.dll
10.12.2005 03:06 118.784 nvrszht.dll
10.12.2005 03:06 466.944 nvshell.dll
10.12.2005 03:06 131.139 nvsvc32.exe
10.12.2005 03:06 73.728 nvtuicpl.cpl
10.12.2005 03:06 180.224 nvudisp.exe
10.12.2005 03:06 86.016 nvmctray.dll
10.12.2005 03:06 81.920 nvwddi.dll
10.12.2005 03:06 1.662.976 nvwdmcpl.dll
10.12.2005 03:06 45.056 nvmccsrs.dll
10.12.2005 03:06 253.952 nvrsko.dll
10.12.2005 03:06 110.592 nvapi.dll
10.12.2005 03:06 258.048 nvrsja.dll
10.12.2005 03:06 1.519.616 nwiz.exe
10.12.2005 03:06 270.336 nvrsde.dll
10.12.2005 03:06 1.019.904 nvwimg.dll
10.12.2005 03:06 274.432 nvrses.dll
10.12.2005 03:06 266.240 nvrsesm.dll
10.12.2005 03:06 249.856 nvrsno.dll
10.12.2005 03:06 282.624 nvwrsar.dll
10.12.2005 03:06 442.368 nvappbar.exe
10.12.2005 03:06 286.720 nvwrscs.dll
10.12.2005 03:06 167.936 nvwrszht.dll
10.12.2005 03:06 294.912 nvwrsda.dll
10.12.2005 03:06 35.840 nvcod.dll
10.12.2005 03:06 311.296 nvwrsde.dll
10.12.2005 03:06 278.528 nvrsfr.dll
10.12.2005 03:06 35.840 nvcodins.dll
10.12.2005 03:06 319.488 nvrshe.dll
10.12.2005 03:06 163.840 nvwrszhc.dll
10.12.2005 03:06 147.456 nvcolor.exe
10.12.2005 03:06 335.872 nvwrsel.dll
10.12.2005 03:06 266.240 nvrspt.dll
10.12.2005 03:06 286.720 nvwrseng.dll
10.12.2005 03:06 241.664 nvrscs.dll
10.12.2005 03:06 335.872 nvwrses.dll
10.12.2005 03:06 327.680 nvwrsesm.dll
10.12.2005 03:06 425.984 keystone.exe
10.12.2005 03:06 7.311.360 nvcpl.dll
10.12.2005 03:06 303.104 nvwrsfi.dll
10.12.2005 03:06 327.680 nvwrsfr.dll
10.12.2005 03:06 303.104 nvwrstr.dll
10.12.2005 03:06 294.912 nvwrssv.dll
10.12.2005 03:06 278.528 nvwrshe.dll
10.12.2005 03:06 315.392 nvwrshu.dll
10.12.2005 03:06 16.356 nvdisp.nvu
10.12.2005 03:06 323.584 nvwrsit.dll
10.12.2005 03:06 229.376 nvmccs.dll
10.12.2005 03:06 212.992 nvwrsja.dll
10.12.2005 03:06 1.466.368 nview.dll
10.12.2005 03:06 196.608 nvwrsko.dll
10.12.2005 03:06 319.488 nvwrsnl.dll
10.12.2005 03:06 253.952 nvrshu.dll
10.12.2005 03:06 274.432 nvrsit.dll
10.12.2005 03:06 299.008 nvwrsno.dll
10.12.2005 03:06 1.339.392 nvdspsch.exe
10.12.2005 03:06 294.912 nvwrspl.dll
10.12.2005 03:06 241.664 nvrsfi.dll
10.12.2005 03:06 249.856 nvrspl.dll
10.12.2005 03:06 274.432 nvrsel.dll
10.12.2005 03:06 573.440 nvhwvid.dll
10.12.2005 03:06 323.584 nvwrspt.dll
10.12.2005 03:06 319.488 nvwrsptb.dll
10.12.2005 03:06 303.104 nvwrssl.dll
10.12.2005 03:06 315.392 nvwrsru.dll
10.12.2005 03:06 319.488 nvrsar.dll
10.12.2005 03:06 299.008 nvwrssk.dll
10.12.2005 03:06 5.402.624 nvoglnt.dll
01.12.2005 11:32 16.832 amcompat.tlb
01.12.2005 11:32 23.392 nscompat.tlb
01.12.2005 04:31 1.492.480 shdocvw.dll

Verzeichnis von C:\

01.03.2006 22:23 0 systemtemp.txt
01.03.2006 22:19 97.757 system32.txt
01.03.2006 21:28 804.704.256 hiberfil.sys
01.03.2006 21:28 1.207.959.552 pagefile.sys
01.03.2006 08:58 1.929 DirDPF.txt
01.03.2006 08:58 2 DirDPFCns.txt
15.01.2006 22:46 927 sys.txt
15.01.2006 22:45 10.174 system.txt

Verzeichnis von C:\WINDOWS

01.03.2006 22:10 1.719.138 WindowsUpdate.log
01.03.2006 21:28 0 0.log
01.03.2006 21:28 157 wiadebug.log
01.03.2006 21:28 50 wiaservc.log
01.03.2006 21:28 2.048 bootstat.dat
01.03.2006 09:13 32.638 SchedLgU.Txt
01.03.2006 08:47 240.476 setupapi.log
26.02.2006 18:10 6.371 setupact.log
22.02.2006 22:18 71.168 DirectX.log
31.01.2006 13:32 667 KB829558.log
26.01.2006 10:43 400 ODBC.INI
20.01.2006 09:05 121 GEARInstall.log
15.01.2006 14:43 86.274 iis6.log
15.01.2006 14:43 162.504 comsetup.log
15.01.2006 14:43 103.022 ntdtcsetup.log
15.01.2006 14:43 1.374 imsins.log
15.01.2006 14:43 223.194 tsoc.log
15.01.2006 14:43 19.709 ocmsn.log
15.01.2006 14:43 10.106 KB908519.log
15.01.2006 14:43 300.477 ocgen.log
15.01.2006 14:43 28.069 msgsocm.log
15.01.2006 14:43 548.033 FaxSetup.log
10.01.2006 20:24 25 mixerdef.ini
10.01.2006 14:21 199 CMISETUP.INI
10.01.2006 14:21 26 CMCDPLAY.INI
10.01.2006 14:20 1.278.506 setupapi.log.0.old
06.01.2006 00:56 1.355 imsins.BAK
06.01.2006 00:56 11.007 KB912919.log
06.01.2006 00:56 26.681 updspapi.log
02.01.2006 15:54 144.542 wmsetup.log
17.12.2005 17:37 9.465 KB910437.log
17.12.2005 17:37 15.445 KB905915.log
08.12.2005 00:12 1.304 _GEAREXT.WO_IDENT.TXT
01.12.2005 11:33 379 wmsetup10.log
01.12.2005 11:32 534 win.ini
01.12.2005 11:31 316.640 WMSysPr9.prx

Verzeichnis von C:\

01.03.2006 22:23 0 sys.txt
01.03.2006 22:23 10.213 system.txt
01.03.2006 22:23 1.026 systemtemp.txt
01.03.2006 22:19 97.757 system32.txt
01.03.2006 21:28 804.704.256 hiberfil.sys
01.03.2006 21:28 1.207.959.552 pagefile.sys
01.03.2006 08:58 1.929 DirDPF.txt
01.03.2006 08:58 2 DirDPFCns.txt

Schöne Grüße,
Miko

[Nikita]

Verzeichnis von C:\WINDOWS\system32

01.03.2006 21:34 43.573 nvapps.xml
01.03.2006 08:42 1.158 wpa.dbl
31.01.2006 13:32 52.858 interceptor.sys --> Antivirenkit... AVK 2004 seit du das installiert hast...ging alles glatt...oder? Die Probleme fingen spaeter an ?

poste das log von winpfind...soll heissen, bis jetzt finde ich nichts auffaelliges
http://virus-protect.org/winpfind.html

[Miko13]

Hi Nikita,

nein, leider hat die Installation des GData Antivirenkits nichts gebracht - allerdings lag es wohl nicht an dem Programm selber. Das Problem besteht auch erst seit ca. 4 Tagen. Meine FW war in den Tagen vor den Problemen 2 x für jeweils 5 - 10 Minuten ausgeschaltet, da ich auf Seiten (legale )zugreifen musste, die sich nicht mit der FW vertrugen. Außerdem habe ich (gedankenloserweise, wie ich zugeben muss) die Daten-CD eines Kunden eingelegt, ohne die Daten vorher auf evtl. Malware zu prüfen. Die CD kam von einem Mac, sodass der Besitzer des Rechners seine Dateien (teilweise aus dem Net) nicht auf Viren, Trojaner & Co. überprüft hat (die machen ja auf seinem Rechner auch nichts...). Ich nutze kein P2P o.ä., lade keine mir unbekannten Dateianhänge usw. - bisher hatte ich auch noch nie Probleme.

Wenn Du allerdings auch nichts findest, frage ich mich, wie das seltsame Verhalten meines Rechners zustande kommt? (Mir ist, nebenbei erwähnt, auch aufgefallen, dass er auffällig viel Daten sendet. Normalerweise liegt das Verhältnis zwischen gesendet & empfangen bei 1/3 : 1/3, jetzt ist es 1 : 1 - vorausgesetzt mein Gedächtnis trügt mich jetzt nicht.)

Das Winpfind-Ergebnis sieht folgendermaßen aus:
»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
aspack 26.05.2005 15:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
PEC2 29.08.2002 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 04.11.2005 16:27:24 534280 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL
PECompact2 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 05.01.2006 04:41:32 2836320 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 08:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 08:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 29.08.2002 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 06:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
01.03.2006 21:28:28 S 2048 C:\WINDOWS\bootstat.dat
01.03.2006 22:30:40 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\54cbfb4e3e4b0e850181e6fe045a0565\BIT38.tmp
01.03.2006 22:30:36 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\6d5ef9c905cd8213fab533d23aa1d5de\BIT37.tmp
01.03.2006 08:56:58 H 494432 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\88e6f826c207ed85d583e3ac5f60e472\BIT33.tmp
01.03.2006 22:30:32 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\99aa4cbc79b536e8f04f600b319e3d4f\BIT36.tmp
01.03.2006 22:30:28 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9bc7132c087c121b54150416d00e20db\BIT35.tmp
01.03.2006 22:30:14 H 0 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bbdf365ce59a095713b8b6d35d72aaad\BIT34.tmp
03.01.2006 00:09:26 S 11223 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB912919.cat
01.03.2006 21:29:36 H 1024 C:\WINDOWS\system32\config\DEFAULT.LOG
01.03.2006 21:34:40 H 1024 C:\WINDOWS\system32\config\SAM.LOG
01.03.2006 21:38:36 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
01.03.2006 22:39:20 H 40960 C:\WINDOWS\system32\config\SOFTWARE.LOG
01.03.2006 22:30:52 H 1024 C:\WINDOWS\system32\config\SYSTEM.LOG
15.01.2006 14:43:16 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG
18.01.2006 08:21:04 S 1047 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\7C8A03C4580C6B04FDF34357F3474EDC
18.01.2006 08:21:04 S 1370 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\B82262A5D5DA4DDACE9EDA7F787D0DEB
18.01.2006 08:21:04 S 126 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\7C8A03C4580C6B04FDF34357F3474EDC
18.01.2006 08:21:04 S 194 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\B82262A5D5DA4DDACE9EDA7F787D0DEB
01.03.2006 21:28:30 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 08:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 08:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 08:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 08:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
28.10.1999 17:25:04 29696 C:\WINDOWS\SYSTEM32\fmedia.cpl
Microsoft Corporation 04.08.2004 08:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 08:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 08:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 26.08.2005 17:14:42 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 08:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 08:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
10.12.2005 03:06:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 08:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 08:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 08:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Sony Corporation 05.09.2001 13:43:42 151552 C:\WINDOWS\SYSTEM32\UILib.cpl
Microsoft Corporation 04.08.2004 08:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
14.10.2005 23:26:06 1741 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
07.06.2003 08:42:20 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
07.06.2003 09:35:24 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
27.11.2005 23:10:46 3326 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache

Checking files in %USERPROFILE%\Startup folder...
07.06.2003 08:42:20 HS 84 C:\Dokumente und Einstellungen\Miko & Tata\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
01.10.2005 12:34:04 1552 C:\Dokumente und Einstellungen\Miko & Tata\Anwendungsdaten\AdobeDLM.log
07.06.2003 09:35:24 HS 62 C:\Dokumente und Einstellungen\Miko & Tata\Anwendungsdaten\desktop.ini
01.10.2005 12:34:04 0 C:\Dokumente und Einstellungen\Miko & Tata\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVK9CM
{CAF4C320-32F5-11D3-A222-004095200FF2} = C:\Programme\AntiVirenKit InternetSecurity\AVK\ShellExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AVK9CM
{CAF4C320-32F5-11D3-A222-004095200FF2} = C:\Programme\AntiVirenKit InternetSecurity\AVK\ShellExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}
G DATA WebFilter = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{0124123D-61B4-456f-AF86-78C53A0790C5} = G DATA WebFilter : C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{75CD0BC5-E317-449C-9FF6-4986B3D48F64} = :
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = &Yahoo! Toolbar :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
Adobe Photo Downloader "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
StorageGuard "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
CloneDVDElbyDelay "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
SystemTray SysTray.Exe
FmctrlTray Fmctrl.EXE
AVKTray "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 01.03.2006 22:43:45

Vielen Dank für Deine Hilfe!

Schöne Grüße,
Miko

[Nikita]

ich finde nichts....

Also muss man tiefer graben und wenn folgendes auch nichts bringt... beginnen Virenscans (obwohl dein Scanner exellent ist...)

TCPVIEW
http://www.sysinternals.com/Utilities/TcpView.html

starte es und speichere das Ergebniss in eine Datei, dessen Inhalt poste hier
----------------------------------------------------------------------------------
RootkitRevealer
http://www.sysinternals.com/Utilities/R ... ealer.html


**

[Nikita]

und ueberpruefe bitte die Host-Datei:

oeffne HijackThis:
*Do a system scan only
*Config
*Misc Tools
*öffne(open) Hosts file Manager
*Klick "Open In Notepad" button -->poste, was da steht

[Miko13]

Hi,

hier sind schon einmal

TCPView:

[System Process]:0 TCP linus.home:2871 imedia-c.imedia-online.de:http TIME_WAIT
[System Process]:0 TCP linus.home:2883 66.249.93.99:http TIME_WAIT
[System Process]:0 TCP linus.home:2894 thumbs.ebaystatic.com:http TIME_WAIT
[System Process]:0 TCP linus.home:2895 thumbs.ebaystatic.com:http TIME_WAIT
[System Process]:0 TCP linus.home:2897 www.sysinternals.com:http TIME_WAIT
[System Process]:0 TCP linus.home:2899 www.sysinternals.com:http TIME_WAIT
alg.exe:520 TCP Linus:1030 Linus:0 LISTENING
AVKProxy.exe:172 TCP Linus:32321 Linus:0 LISTENING
AVKProxy.exe:172 TCP Linus:32322 Linus:0 LISTENING
AVKProxy.exe:172 TCP Linus:32323 Linus:0 LISTENING
AVKProxy.exe:172 TCP Linus:32324 Linus:0 LISTENING
iexplore.exe:1696 UDP Linus:1218 *:*
lsass.exe:712 UDP Linus:isakmp *:*
lsass.exe:712 UDP Linus:4500 *:*
svchost.exe:1044 UDP Linus:ntp *:*
svchost.exe:1044 UDP linus.home:ntp *:*
svchost.exe:1164 UDP Linus:1041 *:*
svchost.exe:1164 UDP Linus:1025 *:*
svchost.exe:1164 UDP Linus:1042 *:*
svchost.exe:1240 UDP Linus:1900 *:*
svchost.exe:1240 UDP linus.home:1900 *:*
svchost.exe:948 TCP Linus:epmap Linus:0 LISTENING
System:4 TCP Linus:microsoft-ds Linus:0 LISTENING
System:4 TCP linus.home:netbios-ssn Linus:0 LISTENING
System:4 UDP Linus:microsoft-ds *:*
System:4 UDP linus.home:netbios-dgm *:*
System:4 UDP linus.home:netbios-ns *:*

und HJT:

(Das erklärende 'bla,bla' habe ich weggelassen.)

127.0.0.1 localhost
127.0.0.1 localhost

Rootkit braucht anscheinend noch einen Moment.

Miko

[Miko13]

Hallo Nikita,

hier die Datei von RootkitRevealer:

C:\WINDOWS\Temp\tmp00002b11 02.03.2006 11:30 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\tmp00002b11\tmp00000000 02.03.2006 10:24 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\tmp000065e6 02.03.2006 11:52 0 bytes Hidden from Windows API.
C:\WINDOWS\Temp\tmp000065e6\tmp00000000 02.03.2006 11:41 0 bytes Hidden from Windows API.

Schöne Grüße,
Miko

[Nikita]

1.
C:\WINDOWS\Temp\tmp00002b11
C:\WINDOWS\Temp\tmp000065e6
sind nicht koscher...

versuche sie zu loeschen.
http://virus-protect.org/cleanup.html

2. deaktiviere bitte die netbios (schau, ob dann noch alles im Netzwerk funktioniert)
http://virus-protect.org/windsdoorcleaner.html

3.
http://invisiblethings.org/tools/svv-1.0-public.zip

entpacke es nach c:\ , gehe auf start/ausfuehren, tippe dort cmd ein und druecke die Enter-Taste,

es oeffnet sich die Dosbox danach bitte cd\ und enter druecken

svv /check >test.txt

eingeben und enter druecken
start test.txt und nochmal enter Jetzt sollte sich notepad oeffnen, den ganzen Inhalt bitte hierhin kopieren.

WARNING: Service Table redirection detected
origKiServiceTbl: 0x804e26a8 - 0x804e2ba8
currKiServiceTbl: 0x81fb2b58 - 0x81fb2ffc

verifying module: [ ntoskrnl.exe] 0%... -
verifying module: [ hal.dll] 1%... \
verifying module: [ KDCOM.DLL] 2%... |
verifying module: [ BOOTVID.dll] 2%... /
SYSTEM INFECTION LEVEL: 2
0 - BLUE
1 - GREEN
--> 2 - YELLOW
3 - ORANGE
4 - RED
5 - DEEPRED

[Miko13]

Hallo Nikita,

habe alles versucht abzuarbeiten, Cleanup ist ok, die Ports sind zu und mein Netzugang trotzdem noch funktionstüchtig (soweit ich es bis jetzt sehen kann), aber sobald ich in der DOS-Ebene mit svv arbeite, bekomme ich nach start test.txt nur eine Notpaddatei in der steht: Wrong Command. Was genau habe ich verkehr gemacht?

Schöne Grüße,
Miko