Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 19

Thema: PC ist wieder komisch :(

  1. #1
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    PC ist wieder komisch :(

    HI Ihr Helfer

    ich hab seit neustem ein problem mit meinem pc...
    und zwar ich hab ein converter(für ASF video dateien) gebraucht
    eine Freesoftware, weil nur für ein video brauch ich nicht gleich so ein converter kaufen und hab halt gegoogelt
    und etwas gefunden... gleihc mal downlaod aber anscheinend war es was unseriöses.
    Ich wurde umgeleitet und habs von nen anderen seite gedownloadet.
    naja soweit nich so schlimm. aber als ich die exe datei gestartet hab hat PC kurz geladen die exe datei war verschwunden und nix weiter geschah..
    naja fast nix... nach 20 min hat er sich angefangen auszuschalten und neuzustarten, meine wiederherstellungspunkte wurden gelöscht und bildschirm wechselt zwischen normalen desktop und nur Hintergrund bild.
    ab dem zeitpunkt kann ich den pc nur über Taskmanager steuern

    naja viel text

    und hier mein hijack logfile:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:24:48, on 26.05.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\FRITZ!DSL\FwebProt.exe
    C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FRITZ!DSL\StCenter.EXE
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\AntiVir PersonalEdition Classic\update.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O3 - Toolbar: (no name) - {F4D76F09-7896-458a-890F-E1F05C46069F} - (no file)
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
    O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
    O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    
    --
    End of file - 5166 bytes
    ich hoff ihr könnt helfen

    danke im voraus

  2. #2
    Moderator (global) Team-Mitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.588

    AW: PC ist wieder komisch :(

    • bitte zuerst diese anleitung lesen, auch downloadslink vorhanden
    • lade nun das tool combofix von einem der 3 downloadserver z.b. techsupportforum.com auf deinen desktop
    • installiere nach anleitung die windows.systemwiederherstellungsconsole
    • schließe alle anwendungen
    • nimm der rechner vom netz
    • starte das tool mit einem doppelklick auf die datei combofix.exe
    • wenn sich das fenster geöffnet hat, bekommst du verschiedene hinweise zu lesen, es geht um die risiken bei der verwendung dieses tools, aufmerksam lesen! (daher mein tipp mit der sicherung deiner persönlichen daten)
    • willst du das risiko nicht eingehen, dann beende das tool,
    • willst du die reinigung durchziehen, dann starte es mit ja
    • die überprüfung beginnt, lass den rechner ohne etwas zu tun laufen
    • das tool erstellt ein logfile, das du unter c:\combofix.txt findest
      poste den inhalt
    • Achtung: wenn du den scan gestartet hast, lass das tool arbeiten, das kann bis zu 15 minuten dauern, mach nichts anderes, sonst kann dein desktop unter umständen nur mehr blau bleiben.
    • nach dem scannen und bereinigen, deine antivirensoftware aktivieren (hier kann es zu einer meldung kommen -->eicar testfile) und erst dann mit dem rechner wieder ins netz gehen
    lg
    www.Speedyweb.at.tf
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche forum und keinesfalls über privatnachrichten oder email !!

  3. #3
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    Re: PC ist wieder komisch :(

    Okey
    da bin ich wieder :P
    um die zeit war ich schon gestern schlafen
    aber hier das logfile:

    Code:
    ComboFix 08-05-26.2 - papa 2008-05-27 13:20:49.1 - NTFSx86
    Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1559 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\papa\Desktop\ComboFix.exe
     * Neuer Wiederherstellungspunkt wurde erstellt
    .
    
    ((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    
    C:\smp.bat
    C:\WINDOWS\system32\drivers\Xprotector.sys
    C:\WINDOWS\system32\HNVEfMoq.ini
    C:\WINDOWS\system32\HNVEfMoq.ini2
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\qoMfEVNH.dll
    C:\WINDOWS\system32\vxHklUvw.ini
    C:\WINDOWS\system32\vxHklUvw.ini2
    C:\WINDOWS\system32\wvUlkHxv.dll
    
    .
    (((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    
    -------\Legacy_XPROTECTOR
    -------\Service_XPROTECTOR
    
    
    (((((((((((((((((((((((   Dateien erstellt von 2008-04-27 bis 2008-05-27  ))))))))))))))))))))))))))))))
    .
    
    2008-05-26 20:24 . 2008-05-26 20:24	<DIR>	d--------	C:\Programme\Trend Micro
    2008-05-26 17:22 . 2008-05-26 20:12	<DIR>	d--------	C:\WINDOWS\BDOSCAN8
    2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
    2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
    2008-05-26 16:02 . 2008-05-26 16:03	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
    2008-05-25 19:06 . 2008-05-25 19:06	6,812	--a------	C:\PIC01145.cos2
    2008-05-25 19:06 . 2008-05-25 19:06	157	--a------	C:\PIC01145.scn
    2008-05-25 19:05 . 2008-05-25 19:05	6,516,113	--a------	C:\PIC01145.wmv
    2008-05-25 18:42 . 2008-05-25 19:00	<DIR>	d--------	C:\Programme\XMedia Recode
    2008-05-25 17:12 . 2008-05-25 17:12	58,368	---------	C:\WINDOWS\system32\xxyvvSlj.dll
    2008-05-25 17:11 . 2008-05-25 17:11	31,232	--a------	C:\WINDOWS\system32\winexz32.dll
    2008-05-22 18:22 . 2008-05-22 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle VideoSpin
    2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Yahoo!
    2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VideoSpin
    2008-05-17 13:29 . 2008-05-17 13:29	<DIR>	d--------	C:\OutputFolder
    
    .
    ((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-27 11:24	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\FRITZ!
    2008-05-26 14:00	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\AdobeUM
    2008-05-24 13:35	---------	d-----w	C:\Programme\Magix
    2008-05-22 16:21	---------	d-----w	C:\Programme\Pinnacle
    2008-05-19 18:54	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-05-14 09:35	22,328	----a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\PnkBstrK.sys
    2008-05-11 20:25	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\LimeWire
    2008-05-05 14:03	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
    2008-05-04 17:50	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\uTorrent
    2008-05-02 19:40	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\teamspeak2
    2008-04-26 11:54	---------	d-----w	C:\Programme\Java
    2008-04-21 18:43	---------	d---a-w	C:\Programme\MSN Messenger
    2008-04-17 11:21	---------	d-----w	C:\Programme\ICQ6
    2008-03-06 16:14	16,858,112	----a-w	C:\WINDOWS\RTHDCPL(2).exe
    2007-08-15 16:29	484	-c--a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\wklnhst.dat
    2008-02-09 18:54	251,392	----a-w	C:\Programme\opera\program\plugins\dapop.dll
    .
    
    ((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
    
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}]
    2008-05-25 17:12	58368	---------	C:\WINDOWS\system32\xxyvvSlj.dll
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 15:12 262401]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.EXE]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
    
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"= C:\WINDOWS\system32\xxyvvSlj.dll [2008-05-25 17:12 58368]
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
    C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-11-28 16:52 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexz32]
    winexz32.dll 2008-05-25 17:11 31232 C:\WINDOWS\system32\winexz32.dll
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvvSlj]
    xxyvvSlj.dll 2008-05-25 17:12 58368 C:\WINDOWS\system32\xxyvvSlj.dll
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=wbsys.dll
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.SP54"= SP5X_32.DLL
    "VIDC.SP55"= SP5X_32.DLL
    "VIDC.SP56"= SP5X_32.DLL
    "VIDC.SP57"= SP5X_32.DLL
    "VIDC.SP58"= SP5X_32.DLL
    "VIDC.SP50"= SP5X_32.DLL
    "VIDC.SP51"= SP5X_32.DLL
    "VIDC.SP52"= SP5X_32.DLL
    "VIDC.SP53"= SP5X_32.DLL
    "VIDC.XFR1"= xfcodec.dll
    "vidc.mjpg"= pvmjpg30.dll
    
    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
    backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
    
    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
    backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AmokRdrSixthWipe]
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DOES DART AMOK RDR\Chin Style.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIMACE]
    C:\Programme\ATI Technologies\ATI.ACE\MACE.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-10 21:00 15360 C:\WINDOWS\system32\ctfmon.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
    --a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
    --a------ 2005-10-23 01:00 385024 C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    C:\Programme\iTunes\iTunesHelper.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
    --a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
    C:\Programme\Mail.Ru\Agent\MAgent.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
    --a------ 2005-12-20 10:18 40960 c:\Musicbrigade\Musicbrigade.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    -ra------ 2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    --a------ 2005-05-31 02:04 1415824 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TuneUp MemOptimizer]
    C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
    C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "StarWindService"=2 (0x2)
    "LiveUpdate"=3 (0x3)
    "iPod Service"=3 (0x3)
    "IDriverT"=3 (0x3)
    "FirebirdServerMAGIXInstance"=3 (0x3)
    "ATI Smart"=2 (0x2)
    "Ati HotKey Poller"=2 (0x2)
    "WMPNetworkSvc"=3 (0x3)
    "SPTISRV"=3 (0x3)
    "PACSPTISVR"=3 (0x3)
    "MSCSPTISRV"=3 (0x3)
    "Apple Mobile Device"=2 (0x2)
    "helpsvc"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "PnkBstrA"=2 (0x2)
    "LexBceS"=2 (0x2)
    
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
    "C:\\Dokumente und Einstellungen\\papa\\Desktop\\utorrent.exe"=
    "C:\\GAMES\\Warcraft III(2)\\Frozen Throne.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\GAMES\\Warcraft III(2)\\Warcraft III.exe"=
    "C:\\Programme\\Xfire\\xfire.exe"=
    "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
    "C:\\Programme\\Internet Explorer\\iexplore.exe"=
    "C:\\Programme\\ICQ6\\ICQ.exe"=
    "C:\\GAMES\\ATARI\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
    "C:\\Programme\\Skype\\Phone\\Skype.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "C:\\Programme\\Messenger\\msmsgs.exe"=
    "C:\\GAMES\\WarRock(2)\\System\\WarRock.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6112:TCP"= 6112:TCP:wc3
    "5190:TCP"= 5190:TCP:ICQ send
    "5190:UDP"= 5190:UDP:icq6 freigabe
    
    R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 10:23]
    R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 16:32]
    R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-11-11 09:42]
    R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 22:38]
    R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 12:58]
    R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
    R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 10:45]
    S2 Ca504av;Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca504av.sys []
    S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 17:34]
    S3 idrmkl;idrmkl;C:\DOKUME~1\papa\LOKALE~1\Temp\idrmkl.sys []
    S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\2.tmp []
    S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 10:23]
    S3 tap0901;TAP-Win32 Adapter V9;C:\WINDOWS\system32\DRIVERS\tap0901.sys [2007-04-26 01:53]
    S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys []
    S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
    \Shell\AutoRun\command - G:\start.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
    \Shell\AutoRun\command - M:\start.exe
    
    .
    Inhalt des "geplante Tasks" Ordners
    "2008-02-20 16:03:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Programme\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************
    
    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-27 13:27:24
    Windows 5.1.2600 Service Pack 2 NTFS
    
    Scanne versteckte Prozesse...
    
    Scanne versteckte Autostart Eintr„ge...
    
    Scanne versteckte Dateien...
    
    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0
    
    **************************************************************************
    
    [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
    "ImagePath"="\??\C:\WINDOWS\system32\2.tmp"
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------
    
    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\winexz32.dll
    -> C:\WINDOWS\system32\xxyvvSlj.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\WINDOWS\ehome\ehrecvr.exe
    C:\WINDOWS\ehome\ehSched.exe
    C:\Programme\Common Files\X10\Common\X10nets.exe
    C:\Programme\FRITZ!DSL\FwebProt.exe
    C:\Programme\FRITZ!DSL\StCenter.exe
    C:\Programme\Internet Explorer\iexplore.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-05-27 13:31:49 - machine was rebooted
    ComboFix-quarantined-files.txt  2008-05-27 11:31:43
    
                  33 Verzeichnis(se), 230,511,648,768 Bytes frei
                  38 Verzeichnis(se), 231,316,094,976 Bytes frei
    
    239	--- E O F ---	2008-05-16 17:48:01

  4. #4
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    Re: PC ist wieder komisch :(

    und was ich grad noch merk:
    mein pc geht wieder "normal"
    danke )

  5. #5
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    Re: PC ist wieder komisch :(

    okey
    zu früh gefreut...
    es hat wieder angefangen
    das switchen zwischen normalen desktop und nur hintergrund bild

  6. #6
    Moderator (global) Team-Mitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.588

    AW: PC ist wieder komisch :(

    hi, nun kommt ein wenig arbeit auf dich zu

    der wurde zuviel gelöscht, aus der qoobox wieder an seinen angestammten platz kopieren
    C:\WINDOWS\system32\drivers\Xprotector.sys

    • lege folgenden ordner an c:\programme\regsrch
    • download von regsrch-zip in den ordner c:\programme\regsrch
    • entpacke das programm in diesen ordner.
    • starte regsrch.vbs und gib als suchstring "HNVEfMoq " ein (ohne die anführungszeichen).
    • der scan beginnt und wenn dieser beendet ist, wird ein editorfenster geöffnet
      a) keine funde -> rückmeldung
      b) es wurde etwas gefunden, dann den inhalt des textfiles hier posten

    hier das muster, bei allen anderen einträgen nur den dateinamen mit regsrch suchen (keine doppelten suchen)
    C:\WINDOWS\system32\HNVEfMoq.ini
    C:\WINDOWS\system32\HNVEfMoq.ini2
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\qoMfEVNH.dll
    C:\WINDOWS\system32\vxHklUvw.ini
    C:\WINDOWS\system32\vxHklUvw.ini2
    C:\WINDOWS\system32\wvUlkHxv.dll
    C:\WINDOWS\system32\xxyvvSlj.dll
    C:\WINDOWS\system32\winexz32.dll

    Code:
    rem kopier diesen text und füge ihn in ein textprogramm (notepad) ein 
    rem speichere nun das textfile als QooBox.bat auf deinem desktop ab  
    rem starte das tool mit einem doppelklick
    rem du siehst kurz etwas aufflackern, dabei wird ein textfile generiert 
    rem poste den inhalt des(der) angeführten logfiles.
    rem c:\AQouBox.txt
    
    dir C:\QooBox\  >> c:\AQouBox.txt
    lg
    www.Speedyweb.at.tf
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche forum und keinesfalls über privatnachrichten oder email !!

  7. #7
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    Re: PC ist wieder komisch :(

    Hi again
    Code:
    REGEDIT4
    ; RegSrch.vbs © Bill James
    
    ; Registry search results for string "qoMfEVNH.dll" 28.05.2008 13:33:38
    
    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
    
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5115613A-9F56-4A89-9CE4-05CF37389521}\InprocServer32]
    @="C:\\WINDOWS\\system32\\qoMfEVNH.dll"
    nummer 2:
    Code:
    REGEDIT4
    ; RegSrch.vbs © Bill James
    
    ; Registry search results for string "xxyvvSlj.dll" 28.05.2008 13:37:55
    
    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
    
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}\InprocServer32]
    @="C:\\WINDOWS\\system32\\xxyvvSlj.dll"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvvSlj]
    "DllName"="xxyvvSlj.dll"
    und nummer 3
    Code:
    REGEDIT4
    ; RegSrch.vbs © Bill James
    
    ; Registry search results for string "winexz32.dll" 28.05.2008 13:39:06
    
    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
    
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexz32]
    "DllName"="winexz32.dll"
    zu den anderen sachen wurde nichts gefunden

    post nr.2 kommt gleich

  8. #8
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    Re: PC ist wieder komisch :(

    so das is von QooBox das logfile
    Code:
    Datentr„ger in Laufwerk C: ist Festplatte
     Volumeseriennummer: 1465-05F4
    
     Verzeichnis von C:\QooBox
    
    27.05.2008  13:31    <DIR>          .
    27.05.2008  13:31    <DIR>          ..
    27.05.2008  13:20    <DIR>          BackEnv
    27.05.2008  13:31             1.197 ComboFix-quarantined-files.txt
    27.05.2008  13:23    <DIR>          Quarantine
    27.05.2008  13:31           806.784 snapshot@2008-05-27_13.31.26.89.dat
    27.05.2008  13:31           755.124 snapshot@2008-05-27_13.31.26.89_B.dat
                   3 Datei(en)      1.563.105 Bytes
                   4 Verzeichnis(se), 231.367.786.496 Bytes frei
    welches file muss ich dafür kopieren aus der qoobox? oder wie?
    weil das file heißt dann unter C:\qoobox\quarantine\C\Windows\system32\drivers Xprotector.sys.vir

  9. #9
    Moderator (global) Team-Mitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.588

    AW: PC ist wieder komisch :(

    1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
      Code:
      Registry::
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5115613A-9F56-4A89-9CE4-05CF37389521}\InprocServer32]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}\InprocServer32]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvvSlj]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winexz32]
      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      "{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"=-
      File::
      C:\WINDOWS\system32\wvUlkHxv.dll
      C:\WINDOWS\system32\xxyvvSlj.dll
      C:\WINDOWS\system32\winexz32.dll
      C:\WINDOWS\system32\2.tmp
      Driver::
      Ca504av
      idrmkl
      MEMSWEEP2
    2. Speichere dies als CFScript.txt auf Deinem Desktop


    3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
    4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
      NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

    Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen![/QUOTE]

    wiederhole nun mit regsrch die suche, poste auch ein aktuelles hjt logfile

    Code:
    rem kopier diesen text und füge ihn in ein textprogramm (notepad) ein 
    rem speichere nun das textfile als QooBox.bat auf deinem desktop ab  
    rem starte das tool mit einem doppelklick
    rem du siehst kurz etwas aufflackern, dabei wird ein textfile generiert 
    rem poste den inhalt des(der) angeführten logfiles.
    rem c:\AQouBox.txt
    
    dir C:\QooBox\Quarantine\  >> c:\AQouBox.txt
    dir C:\QooBox\BackEnv\  >> c:\AQouBox.txt
    lg
    www.Speedyweb.at.tf
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche forum und keinesfalls über privatnachrichten oder email !!

  10. #10
    Forenbenutzer
    Registriert seit
    21.12.2007
    Beiträge
    81

    Re: PC ist wieder komisch :(

    Okey hier wieder das logfile von combofix
    Code:
    ComboFix 08-05-26.2 - papa 2008-05-28 19:50:58.2 - NTFSx86
    Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1605 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\papa\Desktop\ComboFix.exe
    Command switches used :: C:\Dokumente und Einstellungen\papa\Desktop\CFScript.txt
     * Neuer Wiederherstellungspunkt wurde erstellt
    
    FILE ::
    C:\WINDOWS\system32\2.tmp
    C:\WINDOWS\system32\winexz32.dll
    C:\WINDOWS\system32\wvUlkHxv.dll
    C:\WINDOWS\system32\xxyvvSlj.dll
    .
    
    ((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    
    C:\WINDOWS\system32\urqNhGxv.dll
    C:\WINDOWS\system32\vxGhNqru.ini
    C:\WINDOWS\system32\vxGhNqru.ini2
    C:\WINDOWS\system32\winexz32.dll
    C:\WINDOWS\system32\xxyvvSlj.dll
    
    .
    (((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    
    -------\Legacy_IDRMKL
    -------\Legacy_MEMSWEEP2
    -------\Service_Ca504av
    -------\Service_idrmkl
    -------\Service_MEMSWEEP2
    
    
    (((((((((((((((((((((((   Dateien erstellt von 2008-04-28 bis 2008-05-28  ))))))))))))))))))))))))))))))
    .
    
    2008-05-28 13:25 . 2008-05-28 13:29	<DIR>	d--------	C:\Programme\regsrch
    2008-05-27 22:18 . 2008-05-27 22:18	<DIR>	d--------	C:\WINDOWS\Mozilla
    2008-05-26 20:24 . 2008-05-26 20:24	<DIR>	d--------	C:\Programme\Trend Micro
    2008-05-26 17:22 . 2008-05-26 20:12	<DIR>	d--------	C:\WINDOWS\BDOSCAN8
    2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
    2008-05-26 16:31 . 2008-05-26 16:31	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
    2008-05-26 16:02 . 2008-05-26 16:03	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
    2008-05-25 19:06 . 2008-05-25 19:06	6,812	--a------	C:\PIC01145.cos2
    2008-05-25 19:06 . 2008-05-25 19:06	157	--a------	C:\PIC01145.scn
    2008-05-25 19:05 . 2008-05-25 19:05	6,516,113	--a------	C:\PIC01145.wmv
    2008-05-25 18:42 . 2008-05-25 19:00	<DIR>	d--------	C:\Programme\XMedia Recode
    2008-05-22 18:22 . 2008-05-22 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle VideoSpin
    2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Yahoo!
    2008-05-22 18:21 . 2008-05-22 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VideoSpin
    2008-05-17 13:29 . 2008-05-17 13:29	<DIR>	d--------	C:\OutputFolder
    
    .
    ((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-28 17:55	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\FRITZ!
    2008-05-26 14:00	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\AdobeUM
    2008-05-24 13:35	---------	d-----w	C:\Programme\Magix
    2008-05-22 16:21	---------	d-----w	C:\Programme\Pinnacle
    2008-05-19 18:54	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-05-14 09:35	22,328	----a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\PnkBstrK.sys
    2008-05-11 20:25	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\LimeWire
    2008-05-05 14:03	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
    2008-05-04 17:50	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\uTorrent
    2008-05-02 19:40	---------	d-----w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\teamspeak2
    2008-04-26 11:54	---------	d-----w	C:\Programme\Java
    2008-04-21 18:43	---------	d---a-w	C:\Programme\MSN Messenger
    2008-04-17 11:21	---------	d-----w	C:\Programme\ICQ6
    2008-03-06 16:14	16,858,112	----a-w	C:\WINDOWS\RTHDCPL(2).exe
    2007-08-15 16:29	484	-c--a-w	C:\Dokumente und Einstellungen\papa\Anwendungsdaten\wklnhst.dat
    2008-02-09 18:54	251,392	----a-w	C:\Programme\opera\program\plugins\dapop.dll
    .
    
    (((((((((((((((((((((((((((((   snapshot@2008-05-27_13.31.26.89   )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-27 11:26:43	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
    + 2008-05-28 17:57:41	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
    - 2004-08-10 19:00:00	294,400	-c--a-w	C:\WINDOWS\system32\dllcache\msctf.dll
    + 2008-02-26 11:59:49	294,912	-c--a-w	C:\WINDOWS\system32\dllcache\msctf.dll
    - 2004-08-10 19:00:00	294,400	----a-w	C:\WINDOWS\system32\MSCTF.dll
    + 2008-02-26 11:59:49	294,912	----a-w	C:\WINDOWS\system32\msctf.dll
    .
    ((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 15:12 262401]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.EXE]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]
    "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
    "UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
    C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll 2005-11-28 16:52 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=wbsys.dll
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.SP54"= SP5X_32.DLL
    "VIDC.SP55"= SP5X_32.DLL
    "VIDC.SP56"= SP5X_32.DLL
    "VIDC.SP57"= SP5X_32.DLL
    "VIDC.SP58"= SP5X_32.DLL
    "VIDC.SP50"= SP5X_32.DLL
    "VIDC.SP51"= SP5X_32.DLL
    "VIDC.SP52"= SP5X_32.DLL
    "VIDC.SP53"= SP5X_32.DLL
    "VIDC.XFR1"= xfcodec.dll
    "vidc.mjpg"= pvmjpg30.dll
    
    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
    backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
    
    [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
    path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
    backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AmokRdrSixthWipe]
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DOES DART AMOK RDR\Chin Style.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIMACE]
    C:\Programme\ATI Technologies\ATI.ACE\MACE.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-10 21:00 15360 C:\WINDOWS\system32\ctfmon.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
    --a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
    --a------ 2005-10-23 01:00 385024 C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    C:\Programme\iTunes\iTunesHelper.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
    --a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
    C:\Programme\Mail.Ru\Agent\MAgent.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
    --a------ 2005-12-20 10:18 40960 c:\Musicbrigade\Musicbrigade.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-02-01 00:13 385024 C:\Programme\QuickTime\QTTask.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    -ra------ 2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    --a------ 2005-05-31 02:04 1415824 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TuneUp MemOptimizer]
    C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
    C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "StarWindService"=2 (0x2)
    "LiveUpdate"=3 (0x3)
    "iPod Service"=3 (0x3)
    "IDriverT"=3 (0x3)
    "FirebirdServerMAGIXInstance"=3 (0x3)
    "ATI Smart"=2 (0x2)
    "Ati HotKey Poller"=2 (0x2)
    "WMPNetworkSvc"=3 (0x3)
    "SPTISRV"=3 (0x3)
    "PACSPTISVR"=3 (0x3)
    "MSCSPTISRV"=3 (0x3)
    "Apple Mobile Device"=2 (0x2)
    "helpsvc"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "PnkBstrA"=2 (0x2)
    "LexBceS"=2 (0x2)
    
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
    "C:\\Dokumente und Einstellungen\\papa\\Desktop\\utorrent.exe"=
    "C:\\GAMES\\Warcraft III(2)\\Frozen Throne.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\GAMES\\Warcraft III(2)\\Warcraft III.exe"=
    "C:\\Programme\\Xfire\\xfire.exe"=
    "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
    "C:\\Programme\\Internet Explorer\\iexplore.exe"=
    "C:\\Programme\\ICQ6\\ICQ.exe"=
    "C:\\GAMES\\ATARI\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
    "C:\\Programme\\Skype\\Phone\\Skype.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "C:\\Programme\\Messenger\\msmsgs.exe"=
    "C:\\GAMES\\WarRock(2)\\System\\WarRock.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
    "C:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6112:TCP"= 6112:TCP:wc3
    "5190:TCP"= 5190:TCP:ICQ send
    "5190:UDP"= 5190:UDP:icq6 freigabe
    
    R0 sonyhcb;Sony Digital Imaging Base;C:\WINDOWS\system32\DRIVERS\sonyhcb.sys [2001-11-05 10:23]
    R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 16:32]
    R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-11-11 09:42]
    R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 22:38]
    R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 12:58]
    R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
    R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 10:45]
    S3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 17:34]
    S3 sonyhcs;Sony Digital Imaging Video;C:\WINDOWS\system32\DRIVERS\sonyhcs.sys [2001-11-05 10:23]
    S3 tap0901;TAP-Win32 Adapter V9;C:\WINDOWS\system32\DRIVERS\tap0901.sys [2007-04-26 01:53]
    S3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\WINDOWS\system32\Drivers\Bulk504.sys []
    S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
    \Shell\AutoRun\command - G:\start.exe
    
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
    \Shell\AutoRun\command - M:\start.exe
    
    .
    Inhalt des "geplante Tasks" Ordners
    "2008-02-20 16:03:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Programme\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************
    
    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-28 19:58:04
    Windows 5.1.2600 Service Pack 2 NTFS
    
    Scanne versteckte Prozesse...
    
    Scanne versteckte Autostart Eintr„ge...
    
    Scanne versteckte Dateien...
    
    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0
    
    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\WINDOWS\ehome\ehrecvr.exe
    C:\WINDOWS\ehome\ehSched.exe
    C:\Programme\Common Files\X10\Common\X10nets.exe
    C:\Programme\FRITZ!DSL\FwebProt.exe
    C:\Programme\FRITZ!DSL\StCenter.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-05-28 20:02:18 - machine was rebooted
    ComboFix-quarantined-files.txt  2008-05-28 18:02:15
    ComboFix2.txt  2008-05-27 11:31:50
    
                  33 Verzeichnis(se), 231,324,860,416 Bytes frei
                  38 Verzeichnis(se), 231,314,350,080 Bytes frei
    
    237	--- E O F ---	2008-05-28 09:12:59
    hier die logfiles von regsearch:
    Code:
    REGEDIT4
    ; RegSrch.vbs © Bill James
    
    ; Registry search results for string "MSINET" 28.05.2008 20:09:10
    
    ; NOTE: This file will be deleted when you close WordPad.
    ; You must manually save this file to a new location if you want to refer to it again later.
    ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
    
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\InprocServer32]
    @="C:\\WINDOWS\\system32\\msinet.ocx"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}\ToolboxBitmap32]
    @="C:\\WINDOWS\\system32\\msinet.ocx, 1"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}\InprocServer32]
    @="C:\\WINDOWS\\system32\\msinet.ocx"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}\InprocServer32]
    @="C:\\WINDOWS\\system32\\msinet.ocx"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}\1.0\0\win32]
    @="C:\\WINDOWS\\system32\\msinet.ocx"
    nur zu MSINET wurde was gefunden

    hier das qoobox logfile
    Code:
     Datentr„ger in Laufwerk C: ist Festplatte
     Volumeseriennummer: 1465-05F4
    
     Verzeichnis von C:\QooBox
    
    27.05.2008  13:31    <DIR>          .
    27.05.2008  13:31    <DIR>          ..
    27.05.2008  13:20    <DIR>          BackEnv
    27.05.2008  13:31             1.197 ComboFix-quarantined-files.txt
    27.05.2008  13:23    <DIR>          Quarantine
    27.05.2008  13:31           806.784 snapshot@2008-05-27_13.31.26.89.dat
    27.05.2008  13:31           755.124 snapshot@2008-05-27_13.31.26.89_B.dat
                   3 Datei(en)      1.563.105 Bytes
                   4 Verzeichnis(se), 231.367.786.496 Bytes frei
     Datentr„ger in Laufwerk C: ist Festplatte
     Volumeseriennummer: 1465-05F4
    
     Verzeichnis von C:\QooBox\Quarantine
    
    27.05.2008  13:23    <DIR>          .
    27.05.2008  13:23    <DIR>          ..
    27.05.2008  13:21    <DIR>          C
    28.05.2008  19:55               269 catchme.log
    28.05.2008  19:55           362.217 catchme2008-05-28_195521,73.zip
    28.05.2008  19:54    <DIR>          Registry_backups
                   2 Datei(en)        362.486 Bytes
                   4 Verzeichnis(se), 231.335.436.288 Bytes frei
     Datentr„ger in Laufwerk C: ist Festplatte
     Volumeseriennummer: 1465-05F4
    
     Verzeichnis von C:\QooBox\BackEnv
    
    27.05.2008  13:20    <DIR>          .
    27.05.2008  13:20    <DIR>          ..
    27.05.2008  13:20               307 appdata.folder.dat
    27.05.2008  13:20               367 cache.folder.dat
    27.05.2008  13:20               155 desktop.folder.dat
    27.05.2008  13:20               161 favorites.folder.dat
    27.05.2008  13:20               331 localappdata.folder.dat
    27.05.2008  13:20               332 localsettings.folder.dat
    27.05.2008  13:20               289 mypictures.folder.dat
    27.05.2008  13:20               233 personal.folder.dat
    27.05.2008  13:20               304 profiles.folder.dat
    27.05.2008  13:20               191 programs.folder.dat
    27.05.2008  13:20            11.661 SetPath.bat
    27.05.2008  13:20               259 startmenu.folder.dat
    27.05.2008  13:20               221 startup.folder.dat
    27.05.2008  13:20             4.964 SysPath.dat
    27.05.2008  13:20               158 templates.folder.dat
                  15 Datei(en)         19.933 Bytes
                   2 Verzeichnis(se), 231.335.436.288 Bytes frei
    HiJack logfile folgt gleich.

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 18.04.2008, 18:26
  2. Ist mein PC jetzt wieder sauber ?
    Von DarkVampire666 im Forum Archiv
    Antworten: 4
    Letzter Beitrag: 16.02.2007, 22:04
  3. Antworten: 3
    Letzter Beitrag: 12.01.2007, 12:49
  4. svchost.exe nach windows update ist komisch :/
    Von Dr. Hovno im Forum Archiv
    Antworten: 5
    Letzter Beitrag: 27.07.2005, 21:42

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •