Spybot findet ständig neue Probleme

Status
Not open for further replies.
Das muessen wir anders handhaben. Ersteinmal bitte die DAtentraegerbereinigung nutzen. Alles ausser Dateien kompriemieren anwaehlen:
http://support.microsoft.com/default.aspx?scid=kb;de;315246

erstelle ein Combofix Report:
http://virus-protect.org/artikel/tools/combofix.html und Ergebniss hier in eine Antwort von dir.

Danach mache bitte einen normalen scan/ueberpruefen mit Spybot, wenn es damit fertig ist, druecke die rechte Maustaste im weissen Ergebnissfeld. Dort waehlst du "Ergebnisse in die Zwischenablage kopieren" und fuegst das ganze hier in eine Antwort von dir ein.

Dann stellst du Antivir wie hier beschrieben ein: http://board.protecus.de/t23979.htm
Sratest im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm

laesst Antivir deinen Rechner pruefen und alle Funde bitte in die Quarantäne schieben. Dann starte neu und kopiere den Antivir Bericht auch hier hinein. Dazu Antivir starten, auf den Reiter Berichte wechseln und dort den letzten Bericht oeffnen und Inhalt hier hinein.
 
Besitzer - 06-12-17 22:28:56,04 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Besitzer\Desktop"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\j6n20g5oe6.dll
C:\WINDOWS\system32\k0jsla171d.dll


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Deskbar


((((((((((((((((((((((((((((((( Files Created from 2006-11-17 to 2006-12-17 ))))))))))))))))))))))))))))))))))


2006-12-08 11:43 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
2006-12-08 11:43 8,704 --a------ C:\WINDOWS\system32\vidccleaner.exe
2006-12-08 11:43 589,824 --a------ C:\WINDOWS\system32\xvidcore.dll
2006-12-08 11:43 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
2006-12-08 11:43 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2006-12-08 11:43 <DIR> d-------- C:\Programme\Samsung
2006-12-07 11:29 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2006-12-07 11:25 <DIR> d-------- C:\Programme\Common\Teleca Shared
2006-12-07 11:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Teleca
2006-12-07 11:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2006-12-07 11:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2006-12-07 11:24 <DIR> d-------- C:\Programme\Sony Ericsson
2006-12-07 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2006-12-07 11:23 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
2006-12-07 11:23 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
2006-11-17 15:00 <DIR> d-------- C:\Programme\MSXML 4.0


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-17 22:21 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-17 17:17 -------- d-------- C:\Programme\eMule
2006-12-17 14:28 -------- d-------- C:\Programme\TVgenial
2006-12-17 12:27 -------- d-------- C:\Programme\Winamp
2006-12-16 15:05 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-15 01:32 -------- d-------- C:\Programme\Internet Explorer
2006-12-15 01:31 -------- d-------- C:\Programme\Outlook Express
2006-12-15 01:31 -------- d-------- C:\Programme\Common\System
2006-12-13 15:10 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-13 15:10 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-08 11:43 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-07 11:35 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Adobe
2006-12-07 11:31 -------- d-------- C:\Programme\Adobe
2006-12-07 11:25 -------- d-------- C:\Programme\Common
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-28 13:03 -------- d---s---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft
2006-10-28 13:02 -------- d-------- C:\Programme\Valve
2006-10-28 11:48 -------- d-------- C:\Programme\TRUST 640U SILVERLINE HEADSET USB
2006-10-21 12:17 -------- d-------- C:\Programme\QuickTime
2006-10-21 12:16 -------- d-------- C:\Programme\Apple Software Update
2006-10-20 15:06 -------- d-------- C:\Programme\MSN Messenger
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-18 14:52 -------- d-------- C:\Programme\mIRC
2006-10-18 14:36 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Lionhead Studios
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-09-26 11:46 24296 --a------ C:\WINDOWS\icont.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableStatusMessages"=dword:00000001
"VerboseStatus"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=dword:00000001
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start"
"item"="Logitech Desktop Messenger"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech SetPoint.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech SetPoint.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Logitech\\SetPoint\\KEM.exe "
"item"="Logitech SetPoint"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Common\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CmUsbSound]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RunDll32 cmcnfgu"
"hkey"="HKLM"
"command"="RunDll32 cmcnfgu.cpl,CMICtrlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dfndrff_e14"
"hkey"="HKLM"
"command"="C:\\\\dfndrff_e14.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iqpe3c94]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RUNDLL32"
"hkey"="HKLM"
"command"="RUNDLL32.EXE w143b62d.dll,n 004e3c900000000a143b62d"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISUSPM"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\Common\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="issch"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Common\\InstallShield\\UpdateService\\issch.exe\" -start"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KHALMNPR"
"hkey"="HKLM"
"command"="KHALMNPR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Application Launcher"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="C:\\Programme\\Valve\\Steam\\\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UnlockerAssistant"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job

Completion time: 06-12-17 22:30:12.43
C:\ComboFix.txt ... 06-12-17 22:30
 
--- Report generated: 2006-12-17 22:37 ---

DoubleClick: Verfolgender Cookie (Firefox: default) (Cookie, fixed)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-09-26 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-12-08 Includes\Cookies.sbi (*)
2006-12-08 Includes\Dialer.sbi (*)
2006-12-08 Includes\DialerC.sbi (*)
2006-11-24 Includes\Hijackers.sbi (*)
2006-12-08 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2006-12-08 Includes\KeyloggersC.sbi (*)
2006-12-08 Includes\Malware.sbi (*)
2006-12-08 Includes\MalwareC.sbi (*)
2006-10-20 Includes\PUPS.sbi (*)
2006-12-08 Includes\PUPSC.sbi (*)
2006-12-08 Includes\Revision.sbi (*)
2006-12-08 Includes\Security.sbi (*)
2006-12-08 Includes\SecurityC.sbi (*)
2006-10-13 Includes\Spybots.sbi (*)
2006-12-08 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-12-08 Includes\Trojans.sbi (*)
2006-12-08 Includes\TrojansC.sbi (*)
 
Also es ist unfassbar was sich bei mir aufem rechenr alles findet!!!!

Hier der Antivir Report:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 17. Dezember 2006 23:00

Es wird nach 588361 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Besitzer
Computername: WINDOWSPC

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.2 208936 Bytes 13.12.2006 14:10:15
AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 14:10:15
LUKE.DLL : 7.0.3.2 143400 Bytes 13.12.2006 14:10:15
LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 14:10:15
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:58:58
ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 14:04:30
ANTIVIR2.VDF : 6.37.0.25 466432 Bytes 15.12.2006 14:05:21
ANTIVIR3.VDF : 6.37.0.27 5120 Bytes 15.12.2006 14:05:21
AVEWIN32.DLL : 7.3.0.19 1995264 Bytes 16.12.2006 14:05:21
AVPREF.DLL : 7.0.2.0 23592 Bytes 13.12.2006 14:10:15
AVREP.DLL : 6.37.0.5 1007656 Bytes 14.12.2006 14:09:02
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 31.05.2006 11:54:38
AVPACK32.DLL : 7.2.0.5 368680 Bytes 25.10.2006 13:38:44
AVREG.DLL : 7.0.1.1 30760 Bytes 13.12.2006 14:10:15
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 06:56:47
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 14:10:09
RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 14:10:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: H:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Sonntag, 17. Dezember 2006 23:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 37 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Behaviors\Actions\Show Pop-Up Menu.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f4c098.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Commands\CFLoginWizard.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d1c07c.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Commands\Fireworks HTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f7c0a0.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Commands\Keyboard Shortcuts.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fec09c.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Shared\MM\Scripts\insertFireworksHTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f8c0b3.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Shared\UltraDev\Scripts\ReservedWords.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f8c0aa.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\TagLibraries\TagImporters\DTDSchema\DTDSchemaImport.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45c9c09b.qua' verschoben!
C:\WINDOWS\system32\cmdow.exe
[FUND] Enthält Signatur des SPR/HideWindows.I-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45e9c20b.qua' verschoben!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd3245.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'G:\' <200er Festplatte>
G:\psp\psp firmware v2.5 to 1.5 by boixnet.rar
[0] Archivtyp: RAR
--> psp firmware v2.5 to 1.5 by boixnet\PSP\GAME\PHOTO\overflow.tif
[FUND] Ist das Trojanische Pferd TR/PSPBrick
--> psp firmware v2.5 to 1.5 by boixnet\PSP\PHOTO\overflow.tif
[FUND] Ist das Trojanische Pferd TR/PSPBrick
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f5ca63.qua' verschoben!
G:\psp\psp firmware v2.5 to 1.5 by boixnet\psp firmware v2.5 to 1.5 by boixnet\PSP\GAME\PHOTO\overflow.tif
[FUND] Ist das Trojanische Pferd TR/PSPBrick
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45eacaa7.qua' verschoben!
G:\psp\psp firmware v2.5 to 1.5 by boixnet\psp firmware v2.5 to 1.5 by boixnet\PSP\PHOTO\overflow.tif
[FUND] Ist das Trojanische Pferd TR/PSPBrick
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '446ba6f4.qua' verschoben!
Beginne mit der Suche in 'F:\' <G:\>
Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\' <JustCause>


Ende des Suchlaufs: Sonntag, 17. Dezember 2006 23:52
Benötigte Zeit: 52:34 min

Der Suchlauf wurde vollständig durchgeführt.

6911 Verzeichnisse wurden überprüft
320836 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
320824 Dateien ohne Befall
3406 Archive wurden durchsucht
4 Warnungen
99 Hinweise
 
Wie laeuft der Rechner denn nun? Falls es immer noch Probleme geben sollte, braeuchte ich noch eine Filelist. Kleine Dinge gibt es da noch( u.a.C:\WINDOWS\icont.exe)

Wie du sie erzeugst, erfaehrst du hier unter Punkt 3 http://forum.antivir-pe.de/thread.php?threadid=13843



Achso, das sind wahrscheinlich fehlalarme, und wenn du das Programm noch brauchst, musst du die Dateien aus der Quarantäne wiederherstellen:

C:\Programme\Macromedia\Dreamweaver 8\Configuration\Behaviors\Actions\Show Pop-Up Menu.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f4c098.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Commands\CFLoginWizard.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d1c07c.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Commands\Fireworks HTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f7c0a0.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Commands\Keyboard Shortcuts.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fec09c.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Shared\MM\Scripts\insertFireworksHTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f8c0b3.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\Shared\UltraDev\Scripts\ReservedWords.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f8c0aa.qua' verschoben!
C:\Programme\Macromedia\Dreamweaver 8\Configuration\TagLibraries\TagImporters\DTDSchema\DTDSchemaImport.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
 
ALso habe dne Dreamweaver entfernt und noch mal alles gescanned,war eigentlich sehr gut,aber was ist mit den Funden in Quarantäne,können die dort bleiben?
Was ist denn mit C:\WINDOWS\icont.exe?

Spybot findet leider immernoch Doubleclick und Tradedoubler!
 
Die icont.exe ist teil einer anderen Spy/adware.

Die Cookiefunde von Spybot kannst du ignorieren, bzw Firefox anweisen, deine "privaten Daten" beim schliessen vom Firefox zu loeschen.

Steht irgendwo unter Optionen/Sicherheit. Ich kanns dir nicht genauer angeben, da ich kein deutsches Firefox installiert habe...

Du kannst fuer solche Dinge mit CCleaner von www.ccleaner.de erledigen lassen(nicht die Yahoo Toolbar installieren).

Wie gesagt, eine Fileliste waere nicht schlecht, aber ein Kontrollscan mi Drweb Cureit ist auch nicht falsch: http://www.drweb-online.com/de/cure_it.asp?rpid=

BTW: Weisst du was "Teleca" ist?
 
Filelist?SOll ich nochmal Hijackthis benutzen?

Ne weiss leider nicht was Teleca ist.

Habe dieses Dr.web benutzt es hat nix gefunden.
 
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78D2-BF27

Verzeichnis von C:\

18.12.2006 11:46 43 filelist.txt
18.12.2006 11:30 2.145.386.496 pagefile.sys
17.12.2006 23:56 211 boot.ini
17.12.2006 22:30 17.192 ComboFix.txt
31.05.2006 13:18 183 LogiSetup.log
31.05.2006 13:03 2.778 LGSInst.Log
30.05.2006 18:40 0 IO.SYS
30.05.2006 18:40 0 CONFIG.SYS
30.05.2006 18:40 0 MSDOS.SYS
30.05.2006 18:40 0 AUTOEXEC.BAT
04.08.2004 12:00 251.184 ntldr
04.08.2004 12:00 47.564 NTDETECT.COM
04.08.2004 12:00 4.952 bootfont.bin
13 Datei(en) 2.145.710.603 Bytes
0 Verzeichnis(se), 13.200.084.992 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78D2-BF27

Verzeichnis von C:\WINDOWS

18.12.2006 11:30 0 0.log
18.12.2006 11:30 1.215.536 WindowsUpdate.log
18.12.2006 11:30 159 wiadebug.log
18.12.2006 11:30 50 wiaservc.log
18.12.2006 11:30 2.048 bootstat.dat
18.12.2006 11:29 32.618 SchedLgU.Txt
18.12.2006 00:04 54.156 QTFont.qfn
17.12.2006 23:56 477 win.ini
17.12.2006 23:56 227 system.ini
17.12.2006 22:35 1.179 ie7_main.log
17.12.2006 22:24 180.209 setupact.log
17.12.2006 11:08 116 NeroDigital.ini
15.12.2006 01:32 1.393 imsins.log
15.12.2006 01:32 18.327 ocmsn.log
15.12.2006 01:32 23.443 KB925454.log
15.12.2006 01:32 119.371 comsetup.log
15.12.2006 01:32 51.046 iis6.log
15.12.2006 01:32 128.637 tsoc.log
15.12.2006 01:32 71.074 ntdtcsetup.log
15.12.2006 01:32 16.630 msgsocm.log
15.12.2006 01:32 248.086 ocgen.log
15.12.2006 01:32 326.877 FaxSetup.log
15.12.2006 01:32 967.657 setupapi.log
15.12.2006 01:32 20.767 updspapi.log
15.12.2006 01:32 12.643 KB925398.log
15.12.2006 01:32 1.393 imsins.BAK
15.12.2006 01:32 13.998 KB923689.log
15.12.2006 01:31 16.873 KB926255.log
15.12.2006 01:31 16.723 KB923694.log
13.12.2006 04:59 1.409 QTFont.for
08.12.2006 00:34 1.454 COM+.log
07.12.2006 11:24 359.346 DPINST.LOG
25.11.2006 15:09 105.964 ntbtlog.txt17.11.2006 15:00 19.225 KB923980.log
17.11.2006 15:00 19.247 KB924270.log
17.11.2006 15:00 17.617 KB920213.log
17.11.2006 15:00 19.539 KB922760.log
13.11.2006 17:36 350.598 DirectX.log
11.10.2006 14:02 13.622 KB924191.log
11.10.2006 14:02 13.218 KB922819.log
11.10.2006 14:01 11.420 KB923414.log
11.10.2006 14:01 11.413 KB924496.log
11.10.2006 14:00 8.726 KB923191.log
29.09.2006 09:28 2.611 mozver.dat
 
Last edited:
Bitte denke daran, Nur Daten bis zum 01.10.06 zu nehmen, sonst wird die Liste zu lang und es sollte dann auch reichen.
 
Hilfe!!!

Habe seit einer woche das Problem das ich mit NOD32 andauernd meldungen bezüglich eines Trojaners bekomme. Habe schon zig Progamme laufen lassen, bekomme das Problem nicht in den griff.

Wer kann mir helfen?
 
Status
Not open for further replies.
Back
Top