Virusbefall, "Anleitung zum Löschen von Viren" dur

Hallo!
Mein Computer:
Betriebssystem: Windows XP SP 2
Installierte Anti-Malware Software: Antivir, Ad-Adware, Spybot - Search&Destroy

Meine Probleme:
1. Beim Öffnen des Task-Managers: "Der Taskmanager wurde vom Administrator deaktivier" dann Neustart
2. Öffnen der Registry: "Das Bearbeiten der Registry wurde vom Administrator deaktiviert" dann Neustart
3. Öffnen von "msconfig": Neustart
4. Ordneroptionen deaktiviert
5. Suche deaktiviert
6. Wlan Dienst teils deaktiviert
7. Öffnen der Systemwiederherstellung: Neustart

Die Punkte 1 bis 4 kann ich mithilfe von Spybot beheben, sie tauchen mit der Zeit jedoch immer wieder auf.
Im abgeischerten Modus habe ich keine Probleme.

Die Reports:

EWIDO
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ssl-hints.netflame[2].txt
Risk: Medium




DR. WEB CURE IT!
SonicLicenseManager.dll
C:\Programme\GemeinsameDateien\Sonic SharedTrojan.DownLoader.origin Nicht desinfizierbar.Verschoben.

brandit.exe C:\SWSetup\BrandIt\Disk1 möglicherweise STPAGE.Trojan Gelöscht.

A0050648.exe C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP210Win32.HLLW.Autoruner.613 Nichtdesinfizierbar.Verschoben.

A0050655.dll C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP210 Trojan.DownLoader.origin Nicht desinfizierbar.Verschoben.


NAVILOG

Search Navipromo version 3.2.0 began on 01.10.2007 at 20:11:45,25

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 30.09.2007 at 18h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11

Done in safe mode

*** Searching for installed Software ***




*** Search folders in C:\WINDOWS ***



*** Search folders in C:\Programme ***



*** Search folders in C:\Dokumente und Einstellungen\All Users\Application Data ***




*** Search folders in C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten ***


*** Search folders in C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1 ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

!! Not same Hidden Files/process found !!
!! Results Scan Catchme not processed by Navilog1 !!


*** Search with GenericNaviSearch ***
!!! Possibility of legitims files in the result !!!
!!! To be always checked before manually deleting !!!

* Scan C:\WINDOWS\system32 *



*** Search files ***




*** Search registry keys ***


*** Complementary Search ***
(Search specifics files)

1)Search known files:

2)Heuristic Search :


3)Certificates Search :

Certificate Egroup not found !


*** Search completed on 01.10.2007 at 20:14:38,79 ***



WINDOWS SCAN

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

01.10.2007 WindowsUpdate.log 20 16:0
01.10.2007 ntbtlog.txt 20 14:402
01.10.2007 setupapi.log 18 04:643
01.10.2007 bootstat.dat 16 48:2.048
28.09.2007 nsreg.dat 11 09:0
28.09.2007 mozver.dat 11 09:3.014
28.09.2007 win.ini 11 09:537
13.09.2007 autorun.inf 10 09:131
13.09.2007 QTFont.qfn 10 07:54.156
21.08.2007 system.ini 17 36:227
13.06.2007 explorer.exe 20 21:1.036.288
30.05.2007 QTFont.for 19 37:1.409
28.05.2007 GENOLITE.INI 00 24:197
27.05.2007 COMBIT.INI 23 50:455
10.05.2007 EPISMG00.SWB 01 30:12.862
15.04.2007 wp.ini 20 00:19
15.04.2007 wp2.ini 20 00:2.059
29.03.2007 gramit32.cfg 17 17:1.080
28.01.2007 msftscc.ini 00 29:25
Soft 16.01.2007 ModemLog_HDAUDIO 04 51:4.924
06.01.2007 WMSysPr9.prx 22 58:316.640
29.12.2006 ODBC.INI 05 06:400
29.12.2006 WININIT.INI 04 01:16
29.06.2006 smscfg.ini 17 22:61
29.06.2006 hpqins69.dat 16 49:88.042
29.06.2006 orun32.ini 16 43:849
29.06.2006 orun32.isu 16 43:210.415


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

01.10.2007 perfh007.dat 16 52:424.074
01.10.2007 perfh009.dat 16 52:408.094
01.10.2007 perfc009.dat 16 52:63.324
01.10.2007 perfc007.dat 16 52:76.540
01.10.2007 PerfStringBackup.INI 16 52:984.180
01.10.2007 nvapps.xml 16 35:51.048
23.09.2007 wpa.dbl 20 03:1.158
13.09.2007 bad3.exe 10 09:0
13.09.2007 bad2.exe 10 09:0
13.09.2007 bad1.exe 10 09:0
06.09.2007 MRT.exe 09 50:17.474.680
30.08.2007 TZLog.log 13 01:249.852
21.08.2007 FNTCACHE.DAT 17 36:251.088
30.07.2007 wuaucpl.cpl.mui 19 20:30.040
30.07.2007 wuapi.dll.mui 19 20:30.040
30.07.2007 wuaueng.dll 19 19:1.712.984
30.07.2007 wuapi.dll 19 19:549.720
30.07.2007 wucltui.dll 19 19:325.976
30.07.2007 wuweb.dll 19 19:203.096
30.07.2007 wuaucpl.cpl 19 19:216.408
30.07.2007 cdm.dll 19 19:92.504
30.07.2007 wuauclt.exe 19 19:53.080
30.07.2007 wups2.dll 19 19:43.352
30.07.2007 wucltui.dll.mui 19 18:34.136
30.07.2007 wups.dll 19 18:33.624
30.07.2007 wuaueng.dll.mui 19 18:20.824
19.07.2007 mshtml.dll 13 56:3.583.488
18.07.2007 tzchange.exe 19 42:60.416
27.06.2007 wininet.dll 21 05:823.808
27.06.2007 webcheck.dll 21 05:232.960
27.06.2007 urlmon.dll 21 05:1.152.000
27.06.2007 occache.dll 21 05:102.400
27.06.2007 mstime.dll 21 05:671.232
27.06.2007 url.dll 21 05:105.984
27.06.2007 msrating.dll 21 05:193.024
27.06.2007 mshtmled.dll 21 05:477.696
27.06.2007 msfeedsbs.dll 21 05:52.224
27.06.2007 msfeeds.dll 21 05:459.264
27.06.2007 jsproxy.dll 21 05:27.648
27.06.2007 inetcpl.cpl 21 05:1.824.256
27.06.2007 iertutil.dll 21 04:267.776
27.06.2007 ieframe.dll 21 04:6.058.496
27.06.2007 iernonce.dll 21 04:44.544
27.06.2007 iedkcs32.dll 21 04:384.512
27.06.2007 ieapfltr.dll 21 04:383.488
27.06.2007 ieaksie.dll 21 04:230.400
27.06.2007 advpack.dll 21 04:124.928


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 916 K
smss.exe 824 Console 0 1.084 K
csrss.exe 872 Console 0 1.820 K
winlogon.exe 896 Console 0 37.776 K
services.exe 940 Console 0 12.708 K
lsass.exe 952 Console 0 1.936 K
svchost.exe 1104 Console 0 34.028 K
svchost.exe 1168 Console 0 29.716 K
svchost.exe 1284 Console 0 56.048 K
svchost.exe 1324 Console 0 24.464 K
svchost.exe 1384 Console 0 26.732 K
explorer.exe 1704 Console 0 61.196 K
ctfmon.exe 716 Console 0 23.732 K
iexplore.exe 216 Console 0 22.700 K
WinRAR.exe 260 Console 0 10.948 K
cmd.exe 572 Console 0 2.036 K
tasklist.exe 728 Console 0 4.420 K
wmiprvse.exe 668 Console 0 5.736 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 01.10.2007 um 20:17:01,95 ***


HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:30:59, on 01.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\Vista Sidebar\Thoosje Sidebar .exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Sidebar 2.0.lnk = C:\WINDOWS\Vista Sidebar\Thoosje Sidebar .exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/...x/qtplugin.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6902 bytes


Ich hoffe man kann alles einigermaßen lesen und ihr könnt mir helfen. Schon mal danke im Voraus für die Mühe.

Schöne Grüße aus Thailand
Sebastian

[WhiteKnight]

Hallo

Thailand? Wo wir überall Fans haben

Dein Hauptproblem:
http://www.sophos.de/security/analyses/trojtofgerb.html

Bitte Geduld. Wir melden uns. Keine Scans mehr durchführen.

[WhiteKnight]

Hallo

Alle Dateien anzeigen
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Bitte diese zuerst

C:\WINDOWS\system32\bad3.exe
C:\WINDOWS\system32\bad2.exe
C:\WINDOWS\system32\bad1.exe
C:\WINDOWS\system32\system.exe


per Mail mit dem Betreff

malware ppf hohmann87

schicken an:

MalwareTEAM@t-online.de

Danke.

Bitte die Bereinigung in dieser Reihenfolge so durchführen:

Deaktiviere zuerst Spybots Tea Timer Werkzeuge -> Resident --> Häkchen bei Teatimer entfernen

oder deinstalliere Spybot gleich ganz



Die Systemwiederherstellung
http://support.microsoft.com/default...d=kb;de;310405
nun erstmal deaktivieren

Start-ausführen, tippe: notepad

OK drücken

kopiere rein (ohne das Wort Code):

Code:

@ECHO OFF  
attrib -s -r -h C:\WINDOWS\system32\bad3.exe 
del C:\WINDOWS\system32\bad3.exe 
attrib -s -r -h C:\WINDOWS\system32\bad2.exe 
del C:\WINDOWS\system32\bad2.exe 
attrib -s -r -h C:\WINDOWS\system32\bad1.exe
del C:\WINDOWS\system32\bad1.exe
attrib -s -r -h C:\WINDOWS\system32\system.exe
del C:\WINDOWS\system32\system.exe

speichere die Datei (all files) als clean.bat auf dem Desktop (Noch nicht ausführen)

Nun öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

boote direkt in den abgesicherten Modus (bei Neustart F8 drücken)
http://www2.tu-berlin.de/www/softwar...savemode.shtml

doppelklick auf clean.bat und ausführen

PC Neustart Normalstart

CounterSpy anwenden
Laden, installieren, Update, NICHT SCANNEN
http://www.paules-pc-infothek.de/ppf...pic.php?t=1201

Boote nun in den abgesicherten Modus (bei Neustart F8 drücken)
http://www2.tu-berlin.de/www/softwar...savemode.shtml

Starte CounterSpy, voller Scan, alle Funde löschen, dazu wähle immer REMOVE

Neustart Normalstart

Poste nun den Report von CounterSpy

Hinweis:
Scanreport finden:
klicke : View details

diesen Report kann man abkopieren: [mit der linken Maus-Taste über den Text fahren -> rechte Maustaste -> kopieren -> hier im Thread -> rechte Maustaste -> einfügen]

Punkt 2 ausführen
http://www.paules-pc-forum.de/phpBB2/topic,98281.html

Bitte dies jetzt machen:
Onlinescan vom gesamten System (wähle Arbeitsplatz):
http://www.kaspersky.com/kos/german/...avwebscan.html
benötigt ActiveX --> IE ,
d.h. du mußt dafür Active X evtl. freigeben unter Interneteinstellungen.
Report vollständig posten.

Die Reporte der Punkte 6,7 erneut posten
http://www.paules-pc-forum.de/phpBB2/topic,98281.html

Zu posten sind also folgende Reporte: CounterSpy, Kaspersky, WindowsSan und HijackThis

Hallo
sry hat alles ein bisschen länger gedauert. Aber das Internet ist hier alles andere als zuverlässig.
Also hier erst einmal die Berichte

COUNTERSPY

Scan History Details
Start Date: 12.10.2007 04:36:07
End Date: 12.10.2007 05:02:52
Total Time: 26 Min 45 Sec
Detected security risks

Cookie: ATDMT.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\basti\cookies\basti@atdmt[2].txt


BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\BEARSHARE
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\BEARSHARE
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\BEARSHARE


Cookie: Bluestreak.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\basti\cookies\basti@bluestreak[1].txt


Cookie: DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\basti\cookies\basti@doubleclick[1].txt


Trojan-Downloader.Zlob.Media-Codec Trojan Downloader more information...
Details: Trojan-Downloader.Zlob.Media-Codec is a program that typically purports to be a needed upgrade to Windows Media Player in order to view adult oriented videos on certain websites. However, Trojan-Downloader.Zlob.Media-Codec actually downloads and installs additional malware on the user's machine.
Status: Deleted

Files detected
c:\WINDOWS\system32\msmsgs.exe

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN




KASPERSKY

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 12. Oktober 2007 15:33:03
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.84.1
Letztes Update der Antiviren-Datenbanken: 12/10/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 404935
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 58138
Viren gefunden: 1
Infizierte Objekte gefunden: 4 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:13:17

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0050648.exe/script.au3 Infizierte Objekte: Worm.Win32.AutoIt.i übersprungen
C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0050648.exe AutoIt: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0050648.exe UPX: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0050648.exe PE_Patch.UPX: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Thunderbird\Profiles\lmqvrltp.default\cert8. db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Thunderbird\Profiles\lmqvrltp.default\key3.d b Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\Perflib_Perfdata_1ec.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\~DF7B48.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Lokale Einstellungen\Temp\~DF7B59.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Basti\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\msmq\storage\QMLog Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Vista Sidebar\Thoosje Sidebar .log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.



WINDOWSSCAN

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

12.10.2007 setupapi.log 13 02:3.651
12.10.2007 wiadebug.log 12 06:159
12.10.2007 WindowsUpdate.log 12 06:351.057
12.10.2007 wiaservc.log 12 06:50
12.10.2007 bootstat.dat 12 05:2.048
12.10.2007 SchedLgU.Txt 11 34:14.290
08.10.2007 PanaFLB800_FLM650.ini 11 56:263
02.10.2007 ODBC.INI 19 50:748
01.10.2007 Sti_Trace.log 20 28:0
28.09.2007 nsreg.dat 11 09:0
28.09.2007 mozver.dat 11 09:3.014
28.09.2007 win.ini 11 09:537
13.09.2007 autorun.inf 10 09:131
21.08.2007 system.ini 17 36:227
13.06.2007 explorer.exe 20 21:1.036.288
28.05.2007 GENOLITE.INI 00 24:197
27.05.2007 COMBIT.INI 23 50:455
10.05.2007 EPISMG00.SWB 01 30:12.862
15.04.2007 wp.ini 20 00:19
15.04.2007 wp2.ini 20 00:2.059
29.03.2007 gramit32.cfg 17 17:1.080
28.01.2007 msftscc.ini 00 29:25
Soft 16.01.2007 ModemLog_HDAUDIO 04 51:4.924
06.01.2007 WMSysPr9.prx 22 58:316.640
29.12.2006 WININIT.INI 04 01:16
29.06.2006 smscfg.ini 17 22:61
29.06.2006 hpqins69.dat 16 49:88.042


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

12.10.2007 perfh009.dat 12 10:408.428
12.10.2007 perfc007.dat 12 10:76.874
12.10.2007 perfc009.dat 12 10:63.658
12.10.2007 perfh007.dat 12 10:424.408
12.10.2007 PerfStringBackup.INI 12 10:984.180
12.10.2007 nvapps.xml 12 05:51.048
12.10.2007 d3d9caps.dat 12 00:6.832
12.10.2007 SBFC.dat 11 36:0
12.10.2007 SBRC.dat 11 36:0
03.10.2007 FNTCACHE.DAT 07 13:251.880
28.09.2007 MRT.exe 12 19:18.089.592
23.09.2007 wpa.dbl 20 03:1.158
30.08.2007 TZLog.log 13 01:249.852
27.08.2007 SBBD.exe 11 26:27.120
21.08.2007 inetcomm.dll 13 16:683.520
20.08.2007 mstime.dll 16 55:671.232
20.08.2007 webcheck.dll 16 55:232.960
20.08.2007 url.dll 16 55:105.984
20.08.2007 wininet.dll 16 55:824.832
20.08.2007 urlmon.dll 16 55:1.152.000
20.08.2007 occache.dll 16 55:102.400
20.08.2007 mshtmled.dll 16 55:477.696
20.08.2007 mshtml.dll 16 55:3.584.512
20.08.2007 msrating.dll 16 55:193.024
20.08.2007 msfeeds.dll 16 55:459.264
20.08.2007 msfeedsbs.dll 16 55:52.224
20.08.2007 iertutil.dll 16 55:267.776
20.08.2007 inetcpl.cpl 16 55:1.824.768
20.08.2007 iernonce.dll 16 55:44.544
20.08.2007 ieframe.dll 16 55:6.058.496
20.08.2007 jsproxy.dll 16 55:27.648
20.08.2007 iedkcs32.dll 16 55:384.512
20.08.2007 ieaksie.dll 16 55:230.400
20.08.2007 ieapfltr.dll 16 55:383.488
20.08.2007 icardie.dll 16 55:63.488
20.08.2007 ieakeng.dll 16 55:153.088
20.08.2007 dxtrans.dll 16 55:214.528
20.08.2007 extmgr.dll 16 55:132.608
20.08.2007 advpack.dll 16 55:124.928
17.08.2007 ie4uinit.exe 17 19:63.488
17.08.2007 ieudinit.exe 17 19:13.824
17.08.2007 ieakui.dll 14 34:161.792
30.07.2007 wuaucpl.cpl.mui 19 20:30.040
30.07.2007 wuapi.dll.mui 19 20:30.040
30.07.2007 wuaueng.dll 19 19:1.712.984
30.07.2007 wuapi.dll 19 19:549.720
30.07.2007 wucltui.dll 19 19:325.976


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 236 K
smss.exe 920 Console 0 408 K
csrss.exe 968 Console 0 4.768 K
winlogon.exe 996 Console 0 3.620 K
services.exe 1040 Console 0 3.672 K
lsass.exe 1052 Console 0 6.560 K
svchost.exe 1196 Console 0 5.300 K
svchost.exe 1256 Console 0 4.720 K
svchost.exe 1296 Console 0 25.988 K
svchost.exe 1420 Console 0 3.552 K
svchost.exe 1448 Console 0 3.744 K
spoolsv.exe 1752 Console 0 5.520 K
avguard.exe 1820 Console 0 6.784 K
explorer.exe 2016 Console 0 18.672 K
ehtray.exe 280 Console 0 1.800 K
HP Wireless Assistant.exe 284 Console 0 5.008 K
SynTPEnh.exe 332 Console 0 7.964 K
QPService.exe 348 Console 0 5.984 K
QLBCTRL.exe 356 Console 0 7.028 K
hpwuSchd2.exe 384 Console 0 2.428 K
avgnt.exe 392 Console 0 860 K
SBCSTray.exe 420 Console 0 5.312 K
ctfmon.exe 424 Console 0 3.448 K
Thoosje Sidebar .exe 492 Console 0 13.756 K
notepad.exe 1488 Console 0 884 K
msdtc.exe 1956 Console 0 5.220 K
sched.exe 1724 Console 0 2.488 K
nvsvc32.exe 484 Console 0 3.892 K
SBCSSvc.exe 624 Console 0 22.908 K
svchost.exe 1408 Console 0 4.064 K
svchost.exe 416 Console 0 5.036 K
mcrdsvc.exe 2052 Console 0 3.196 K
mqsvc.exe 2116 Console 0 6.104 K
hpqwmiex.exe 2180 Console 0 4.272 K
mqtgsvc.exe 2528 Console 0 4.116 K
wmiprvse.exe 2768 Console 0 5.660 K
alg.exe 2928 Console 0 3.800 K
ehmsas.exe 3372 Console 0 2.936 K
iexplore.exe 2848 Console 0 7.692 K
iexplore.exe 736 Console 0 4.088 K
cmd.exe 3700 Console 0 2.068 K
tasklist.exe 2692 Console 0 4.640 K
wmiprvse.exe 2792 Console 0 5.856 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 12.10.2007 um 15:39:56,12 ***



HIJACKTHIS


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:41:08, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Vista Sidebar\Thoosje Sidebar .exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Sidebar 2.0.lnk = C:\WINDOWS\Vista Sidebar\Thoosje Sidebar .exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\CounterSpy\SBCSSvc.exe

--
End of file - 5824 byte


Ich habe weiterhin folgende Probleme:
1. Regisrty gesperrt
2. Taskmanager gesperrt
3. MSconfig gesperrt
4. SUCHE deaktiviert
5. im Explorer sind die ORDNEROPTIONEN deaktiviert

Danke
MFG Sebastian

[WhiteKnight]

Hallo

öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Nun zuerst die
Systemwiederherstellung
http://support.microsoft.com/default...d=kb;de;310405
zuerst deaktivieren,

lösche direkt:

C:\Dokumente und Einstellungen\Administrator\DoctorWeb\Quarantine\A0050648.exe

Papierkorb leeren

Combofix
http://www.techsupportforum.com/sectools/combofix.exe

Doppelklicken auf: combofix.exe

schreibe nun "Y"

Die Datenträgerbereinigung abwarten

mit der rechten Maustaste den Text markieren -> kopieren -> vollständig posten

Punkt 2 ausführen
http://www.paules-pc-forum.de/phpBB2/topic,98281.html


Systemwiederherstellung
http://support.microsoft.com/default...d=kb;de;310405
zuerst aktivieren,

Start-ausführen-notepad
OK

reinkopieren (ohne das Wort Code)

Code:

cd %windir%
attrib /s /d -h -s system32
attrib -s -h -r system32\cmd.com
attrib -s -h -r system32\bszip.dll
attrib -s -h -r system32\netstat.com
attrib -s -h -r system32\ping.com
attrib -s -h -r system32\regedit.com
attrib -s -h -r system32\taskkill.com
attrib -s -h -r system32\tasklist.com
attrib -s -h -r system32\tracert.com
del system32\cmd.com
del system32\bszip.dll
del system32\netstat.com
del system32\ping.com
del system32\regedit.com
del system32\taskkill.com
del system32\tasklist.com
del system32\tracert.com

speichere das als fix.bat (all files) auf dem Desktop:

Abgesicherter Modus starten, Doppelklick auf fix.bat und ausführen.

Neustart Normalstart

Berichte ob die Probleme noch auftreten.

Genial, es funktioniert wieder alles einwandrfrei. Muss man Informatik studieren um sowas zu können... =)

Hier noch der Bericht von Combo Fix

ComboFix 07-10-12.4 - Basti 2007-10-12 19:30:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1254.90.1031.18.578 [GMT 7:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Basti\Eigene Dateien\Mixed\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 ))))))))))))))))))))))))))))))
.

2007-10-12 19:30 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 19:29 4,989,556 --a------ C:\WINDOWS\system32\SBSP.dat
2007-10-12 11:36 157 --a------ C:\WINDOWS\system32\SBFC.dat
2007-10-12 11:36 104 --a------ C:\WINDOWS\system32\SBRC.dat
2007-10-10 10:29 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-10-10 08:35 582,656 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-09 07:22 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Sunbelt Software
2007-10-09 07:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2007-10-09 07:03 <DIR> d-------- C:\Programme\CounterSpy
2007-10-08 12:00 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Panasonic
2007-10-08 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Panasonic
2007-10-08 11:56 22,706 --------- C:\WINDOWS\system32\T1CL2K.DLL
2007-10-08 11:54 <DIR> d-------- C:\Programme\Panasonic
2007-10-08 08:54 <DIR> d-------- C:\Programme\ZyXEL PL-100 Utility
2007-10-02 19:50 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2007-10-02 19:48 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-10-02 19:48 <DIR> d-------- C:\Programme\Microsoft ActiveSync
2007-10-02 19:47 <DIR> d-------- C:\Programme\Microsoft.NET
2007-10-02 19:45 <DIR> dr-h----- C:\MSOCache
2007-10-01 20:20 1,308,216 --a------ C:\HiJackThis_v2.exe
2007-10-01 20:10 <DIR> d-------- C:\Programme\Navilog1
2007-10-01 19:12 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2007-10-01 17:51 <DIR> d-------- C:\Programme\CCleaner
2007-09-28 11:09 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2007-09-28 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Thunderbird
2007-09-28 11:09 3,014 --a------ C:\WINDOWS\mozver.dat
2007-09-28 11:09 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-27 12:27 <DIR> d-------- C:\Programme\Avira
2007-09-27 12:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-09-26 12:27 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-15 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\InstallShield
2007-09-13 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Sony Corporation
2007-09-13 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Corporation
2007-09-13 10:14 90,112 --------- C:\WINDOWS\snymsico.dll
2007-09-13 10:14 38,951 --------- C:\WINDOWS\system32\drivers\NETMDUSB.sys
2007-09-13 10:14 36,679 --------- C:\WINDOWS\system32\drivers\NETMD052.sys
2007-09-13 10:14 36,232 --------- C:\WINDOWS\system32\drivers\NETMD033.sys
2007-09-13 10:14 35,319 --------- C:\WINDOWS\system32\drivers\NETMD031.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-11 15:14 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Skype
2007-10-08 13:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-08 04:56 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-07 13:06 --------- d-----w C:\Programme\Trillian
2007-10-04 15:05 --------- d-----w C:\Programme\Google
2007-10-02 12:41 --------- d-----w C:\Programme\Microsoft Works
2007-10-02 12:27 43,042 ----a-w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\wklnhst.dat
2007-10-01 14:17 --------- d-----w C:\Programme\QuickTime
2007-08-31 17:28 --------- d-----w C:\Programme\Lavasoft
2007-08-31 17:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-31 17:28 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Lavasoft
2007-08-27 04:26 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe
2007-08-22 01:46 60,280 ----a-w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-20 09:55 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-20 09:55 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-20 09:55 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-08-20 09:55 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-08-20 09:55 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-08-20 09:55 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-20 09:55 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-08-20 09:55 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-08-20 09:55 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-08-20 09:55 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-08-20 09:55 3,584,512 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-20 09:55 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-20 09:55 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-08-20 09:55 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-08-20 09:55 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-08-20 09:55 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-20 09:55 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-20 09:55 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-08-20 09:55 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-20 09:55 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-08-20 09:55 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-08-20 09:55 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-08-20 09:55 1,152,000 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-17 17:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-08-17 10:20 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-08-17 10:19 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-08-17 10:19 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-08-14 06:29 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-07-30 12:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 12:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 12:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 12:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 12:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 12:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 12:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 12:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 12:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 12:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 12:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 12:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 12:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 12:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 12:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2007-07-12 23:30 765,952 ----a-w C:\WINDOWS\system32\dllcache\vgx.dll
2007-01-06 15:56 251 ----a-w C:\Programme\wt3d.ini
2005-09-24 06:49 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-06 02:34]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-04 03:58]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-18 15:00]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-18 15:00]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 07:02 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 12:01]
"QPService"="C:\Programme\HP\QuickPlay\QPService.exe" [2006-07-12 02:55]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 16:33]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 21:02]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 15:23]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-17 04:11]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 22:05]
"SBCSTray"="C:\Programme\CounterSpy\SBCSTray.exe" [2007-08-27 12:09]
"SBRegRebootCleaner"="C:\Programme\CounterSpy\SBRC.exe" [2007-08-27 12:09]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-25 11:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
C:\Programme\Microsoft Works\WksSb.exe /AllUsers

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsmqIntCert]
regsvr32 /s mqrt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /installquiet /nodetect

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
C:\Programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
C:\Programme\Microsoft Works\wkfud.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"TapiSrv"=3 (0x3)
"LightScribeService"=2 (0x2)
"IDriverT"=3 (0x3)
"aspnet_state"=3 (0x3)
"AddFiltr"=3 (0x3)
"ehSched"=2 (0x2)
"ehRecvr"=2 (0x2)

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;C:\WINDOWS\system32\Drivers\5U870CAP.sys
R3 HBtnKey;HBtnKey;C:\WINDOWS\system32\DRIVERS\cpqbttn.sys
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys
R3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCMPR5.SYS
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCNDIS5.SYS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{17ff638e-6b12-11dc-a41e-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
Explore\command - G:\
Open\command - G:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{17ff6396-6b12-11dc-a41e-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
Explore\command - G:\system.exe
Open\command - G:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{5dfcea16-61a6-11dc-a40a-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
Explore\command - G:\system.exe
Open\command - G:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{6ad2adc0-6d77-11dc-a42a-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
Explore\command - F:\system.exe
Open\command - F:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{710a9bbb-96ab-11db-a1bd-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
Explore\command - F:\system.exe
Open\command - F:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{b64069ab-9be2-11db-a1d3-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
Explore\command - F:\system.exe
Open\command - F:\system.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints 2\{b7972ba4-d939-11db-a262-001636b744a1}]
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
Explore\command - G:\
Open\command - G:\system.exe

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2007-01-18 21:33:02 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
"2007-10-11 15:01:16 C:\WINDOWS\Tasks\User_Feed_Synchronization-{73B83DC6-6AAB-4CAD-A380-326E91842CD2}.job"
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 19:33:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????<?@?????@Y??????Y?@?????<?@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-12 19:34:30
.
--- E O F ---


Super vielen vielen Dank
Sollte ich noch irgendetwas tun, um vor Viren sicherer zu sein?
Warum sollte ich Spybot deinstallieren? Keine gute Software?

Naja nochmal schönen Dank
Und Gruß aus Thailand
Sebastian

[WhiteKnight]

Zitat:

Super vielen vielen Dank
Sollte ich noch irgendetwas tun, um vor Viren sicherer zu sein?
Warum sollte ich Spybot deinstallieren? Keine gute Software?

Ja ein besseres AV verwenden

Der perfekte Virenscanner

Weitere Tipps:
http://www.paules-pc-forum.de/phpBB2/topic,62187.html

Bei Spybot stört uns der Tea Timer bei der Bereinigung, du kannst das Programm nun wieder verwenden.

Dürfte sauber sein!

Alles Gute.

Sry dass ich mich noch einmal melde, aber der PC war nach 3 Tagen wieder verseucht. Wieder genau die gleichen Probleme und wieder der gleiche Virus, denn ich mit Counterspy entfernt habe. Auch system.exe, bad1.exe, bad2.exe, bad3.exe sind im Hijackthis wieder aufgetaucht. Ich habe zwar jetzt wieder alles hinbekommen, aber ist ja blöd wenn das nach 3 Tagen wieder kommt.

Vielleicht könnt ihr mir ja noch einmal so gut helfen.

Danke
MFG Sebastian

[WhiteKnight]

Hallo

Mach bitte alle diese Scans:

Onlinescan vom gesamten System (wähle Arbeitsplatz):
Kaspersky Online Scanner
benötigt ActiveX --> IE ,
d.h. du mußt dafür Active X evtl. freigeben unter Interneteinstellungen.
Report vollständig posten.

Totalscan
TOTALSCAN
ausführen mit dem IE.
(Evtl. geben Antivirenprogramme eine Warnmeldung – diese übergehen/ignorieren, Scan zulassen)

wähle: Kompletter Scan

Bericht speichern und posten

*Lade dir F-Secure BlackLight, (die Download Blacklight Beta graphical user interface version) auf dem Desktop speichern & Doppel klick auf (BlackLight) blbeta.exe, I accept the agreement markieren dann klicke auf Next,dann die erstellte Datei auf dem Desktop z.B (fsbl-20070310165938.log) den Inhalt hier posten.



und Reporte der Punkte 5,6,7 posten
http://www.paules-pc-forum.de/phpBB2/topic,98281.html