Kleines Problem beim Start von Windows

[Swisstreasure]

Afredolino

>>
Askbar entfernen (nehme an das du das nicht bauchst)
Start -> Einstellungen -> Systemsteuerung -> Software >
Entferne AskSBar,SrchAstt oder Ask Search Assistant

>>
Gehe in die Registry
Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar - löschen

>>
Regsearch downloaden

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

powerbar

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Mach ein Scan mit bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss swiss

 

[Afredolino]

Hallo Swisstreasur

So, hab mal meine Aufgaben gemacht:

Askbar habe ich schon vorher entfernt.

Den Eintrag "Powerbar" konnte ich unter dem Registry-Schlüssel nicht mehr finden, ev. wurde der verwaiste Eintrag von Combofix automatisch entfernt.

Bevor ich Regsearch ausgeführt habe, habe ich das Programm von Cyberlink restlos entfernt.

Hier das Ergebnis von Regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 26.07.2008 15:39:31 for strings:
; 'powerbar'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

---------------------------------------------------------------------

Und hier das Log von Bitdefender:

BitDefender Online Scanner - Real Time Virus Report



Generated at: Sat, Jul 26, 2008 - 17:26:59


--------------------------------------------------------------------------------

Scan Info


Scanned Files
456725

Infected Files
1

Virus Detected

Application.Tool.1038
1

--------------------------------------------------------------------------------



This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.


Jetzt bist Du wieder am zug

Gruss
Afredolino

 

[Swisstreasure]

Afredolino

Infected Files
1

Virus Detected

Application.Tool.1038

In welcherDatei wurde das gefunden?

>>
DSS
Download DSS zum Desktop
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:/ main.txt hier in den Beitrag

Gruss Swiss

 

[Afredolino]

Hallo Swisstreasur

Der Virus wurde in folgender Datei gefunden:

Scanned File
Status

C:\System Volume Information\_restore{8601B7C7-148F-463C-9CE2-46E1DFA506EB}\RP731\A0053522.DLL
Detected with: Application.Tool.1038

C:\System Volume Information\_restore{8601B7C7-148F-463C-9CE2-46E1DFA506EB}\RP731\A0053522.DLL
Disinfection failed

C:\System Volume Information\_restore{8601B7C7-148F-463C-9CE2-46E1DFA506EB}\RP731\A0053522.DLL
Deleted



----------------------------------------------

Hier noch das Log von DSS (das musste ich aufteilen):

Deckard's System Scanner v20071014.68
Run by F.Dietschi on 2008-07-26 18:50:10
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Total Physical Memory: 511 MiB (512 MiB recommended).


-- HijackThis (run as F.Dietschi.exe) ------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:11, on 26.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe
C:\Programme\Portrait Displays\HP My Display\DTHtml.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Portrait Displays\Pivot Software\floater.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\F.Dietschi\Eigene Dateien\Downloads\PcTip\dss.exe
C:\DOKUME~1\F7684~1.DIE\EIGENE~1\DOWNLO~1\PcTip\FDIETS~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:GER
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Bluewin Assistant - {0EBC783B-F8FE-4dc5-B5F0-7C80AB218AE2} - C:\Programme\Bluewin\Assistant\bwa.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.ch/s/v/25.23/uploader2.cab
O16 - DPF: {4CCA4E6B-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1187561380859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1187561335671
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.ch/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.ch/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ABECBD7-6CC6-4004-B553-BF6FA6D4C577}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CS1\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CS2\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 - HKLM\System\CS3\Services\Tcpip\..\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11712 bytes

 

[Afredolino]

Hier noch der Rest:

-- Files created between 2008-06-26 and 2008-07-26 -----------------------------

2008-07-26 15:41:07 0 d-------- C:\WINDOWS\BDOSCAN8
2008-07-26 13:20:28 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-07-26 13:20:27 68096 --a------ C:\WINDOWS\zip.exe
2008-07-26 13:20:27 49152 --a------ C:\WINDOWS\VFind.exe
2008-07-26 13:20:27 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-07-26 13:20:27 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-07-26 13:20:27 98816 --a------ C:\WINDOWS\sed.exe
2008-07-26 13:20:27 80412 --a------ C:\WINDOWS\grep.exe
2008-07-26 13:20:27 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-07-26 13:18:54 0 dr-h----- C:\Dokumente und Einstellungen\F.Dietschi\Recent
2008-07-26 13:07:02 0 d-------- C:\Programme\CCleaner
2008-07-25 18:13:45 16384 --a------ C:\WINDOWS\system32\FileOps.exe
2008-07-25 17:59:05 0 d-------- C:\Programme\AskTBar
2008-07-23 19:20:36 0 d-------- C:\Programme\Malwarebytes' Anti-Malware


-- Find3M Report ---------------------------------------------------------------

2008-07-26 17:38:14 458924 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-26 17:38:14 84678 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-26 17:33:01 288 --a------ C:\WINDOWS\system32\DVCStateBkp-{00000002-00000000-00000001-00001102-00000004-10031102}.dat
2008-07-26 17:33:01 288 --a------ C:\WINDOWS\system32\DVCState-{00000002-00000000-00000001-00001102-00000004-10031102}.dat
2008-07-26 15:35:41 0 d--h----- C:\Programme\InstallShield Installation Information
2008-07-26 13:25:28 0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-25 18:13:50 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-25 18:05:42 0 d-------- C:\Programme\Gemeinsame Dateien\LightScribe
2008-07-25 17:59:48 0 d-------- C:\Programme\Ahead
2008-07-24 16:27:24 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-23 19:20:44 0 d-------- C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\Malwarebytes
2008-07-17 00:17:18 0 d-------- C:\Programme\Java
2008-06-04 23:39:29 0 d-------- C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\ZoomBrowser EX
2008-06-04 23:37:19 0 d-------- C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\CameraWindowDC
2008-05-26 00:25:35 0 d-------- C:\Programme\MSN Messenger


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTHelper"="CTHELPER.EXE" [21.02.2003 00:45 C:\WINDOWS\system32\CTHELPER.EXE]
"AsioReg"="REGSVR32.exe" [14.04.2008 04:22 C:\WINDOWS\system32\regsvr32.exe]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [11.05.2000 02:00]
"Logitech Utility"="Logi_MwX.Exe" [04.03.2003 11:50 C:\WINDOWS\LOGI_MWX.EXE]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [04.02.2002 23:32]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [12.01.2005 15:54]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [12.01.2006 15:40]
"CTSysVol"="C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe" [29.10.2002 09:18]
"CTDVDDet"="C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE" [30.09.2002 01:00]
"PivotSoftware"="C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe" [09.02.2007 12:17]
"DT HPW"="C:\Programme\Portrait Displays\HP My Display\DTHtml.exe" [02.05.2007 15:18]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [08.05.2007 17:24]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [17.07.2008 21:29]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [23.03.2007 14:20]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [22.02.2007 20:12]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [13.06.2007 19:46]
"SB Audigy 2 Startup Menu"=" /L:GER" []
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [03.11.2006 10:56]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [09.06.2008 10:16]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Picasa Media Detector"=C:\Programme\Picasa2\PicasaMediaDetector.exe
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [15.11.2006 18:36:57]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [28.05.2004 23:31:38]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [29.05.2004 00:06:36]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [22.02.2007 20:12:06]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 02:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b075400-7fd0-11db-93b9-000cf1dd8ea9}]
AutoRun\command- F:\travel&work.exe
Shell00\Command- F:\travel&work.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"



-- End of Deckard's System Scanner: finished at 2008-07-26 18:50:35 ------------


Gruss
Afredolino

 

[Swisstreasure]

Afredolino

>>
Lass folgende Datei bei www.virustotal.com/de prüfen und poste das Ergebnis.
C:\WINDOWS\System32\dimsntfy.dll

(Dies ist eigentlich eine WindowsDatei, kann jedoch sein, dasses ein Schädlingsrest ist)


>>
Systemwiederherstellung:
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

Gruss Swiss

Ist für mich:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

 

[Afredolino]

Hallo Swisstreasur

Wie lange dauert normalerweise die Untersuchung nach einem Virus? Virus-Total untersucht nun diese Datei bereits über 2 Stunden....das dauert ja länger, als wenn ich das ganze System überprüfen lasse!!

Gruss
Afredolino

 

[froeschli]

Üblicherweise dauert das nicht so lange. Versuche, die Seite in einem neuen Browser Fenster nochmals aufzurufen und die Datei erneut zu übermitteln.

Gruss froeschli

 

[Afredolino]

Jetzt ging's bedeutend schneller...ist wohl vorhin hängengeblieben. Hier das Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.26.0 2008.07.27 -
AntiVir 7.8.1.12 2008.07.26 -
Authentium 5.1.0.4 2008.07.27 -
Avast 4.8.1195.0 2008.07.26 -
AVG 8.0.0.130 2008.07.26 -
BitDefender 7.2 2008.07.27 -
CAT-QuickHeal 9.50 2008.07.25 -
ClamAV 0.93.1 2008.07.27 -
DrWeb 4.44.0.09170 2008.07.27 -
eSafe 7.0.17.0 2008.07.27 -
eTrust-Vet 31.6.5983 2008.07.26 -
Ewido 4.0 2008.07.27 -
F-Prot 4.4.4.56 2008.07.26 -
F-Secure 7.60.13501.0 2008.07.27 -
Fortinet 3.14.0.0 2008.07.26 -
GData 2.0.7306.1023 2008.07.27 -
Ikarus T3.1.1.34.0 2008.07.27 -
Kaspersky 7.0.0.125 2008.07.27 -
McAfee 5347 2008.07.25 -
Microsoft 1.3704 2008.07.27 -
NOD32v2 3301 2008.07.27 -
Norman 5.80.02 2008.07.25 -
Panda 9.0.0.4 2008.07.27 -
PCTools 4.4.2.0 2008.07.27 -
Prevx1 V2 2008.07.27 -
Rising 20.54.62.00 2008.07.27 -
Sophos 4.31.0 2008.07.27 -
Sunbelt 3.1.1536.1 2008.07.25 -
Symantec 10 2008.07.27 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.26 -
VBA32 3.12.8.1 2008.07.27 -
ViRobot 2008.7.26.1311 2008.07.26 -
VirusBuster 4.5.11.0 2008.07.27 -
Webwasher-Gateway 6.6.2 2008.07.27 -
weitere Informationen
File size: 19456 bytes
MD5...: 2449d2a51ea2083fa05058f7cef44714
SHA1..: 96191399fccbc0d1da11c36574421b4b974bc1ee
SHA256: 3291589aec31c553c35b54b2d9082bb83035ada5b68abbb351e3ae3e0a9ed18b
SHA512: 2f323cb618aba9b7b9fda7a30c3bed5f30b1d0da98633b759522ab44f6e07cd6
8add87102c14dc0836cddf21f1845b330ef50482998de814f3bbf636137d9cc8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4712416a
timedatestamp.....: 0x4802bf88 (Mon Apr 14 02:20:56 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bba 0x3c00 6.40 d5c789f4158a1c0c2001e18fa3102a72
.data 0x5000 0x214 0x200 1.10 0f7819b5602a8da1a0f7f40e11f2b9de
.rsrc 0x6000 0x3f0 0x400 3.37 ce0a21d8f09428816f61b53fc0edd368
.reloc 0x7000 0x4a6 0x600 5.15 3b4a52062ac50e13c4151a297a2dfefe

( 6 imports )
> msvcrt.dll: _adjust_fdiv, srand, rand, wcslen, malloc, _initterm, free
> ntdll.dll: RtlInitUnicodeString, RtlSetEnvironmentVariable
> KERNEL32.dll: CreateProcessW, DuplicateHandle, GetCurrentProcess, CreatePipe, FlushFileBuffers, InterlockedDecrement, RegisterWaitForSingleObject, WriteFile, DeleteTimerQueueTimer, InterlockedExchange, Sleep, InterlockedExchangeAdd, CreateTimerQueueTimer, MulDiv, OpenEventW, FindCloseChangeNotification, FindNextChangeNotification, FindFirstChangeNotificationW, QueueUserWorkItem, SetEvent, LocalFree, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, UnregisterWaitEx, InterlockedIncrement, GetLastError, CloseHandle, DisableThreadLibraryCalls, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetSystemTimeAsFileTime, CreateEventW, LocalAlloc
> ADVAPI32.dll: AddAccessDeniedAceEx, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, GetTokenInformation, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, CreateProcessAsUserW, RegDeleteKeyW, GetLengthSid, InitializeAcl, AddAccessAllowedAceEx, RegQueryValueExW, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegCreateKeyExW, RegSetValueExW, RegCloseKey, TraceMessage, DuplicateTokenEx, RegOpenKeyExW
> NETAPI32.dll: DsRoleGetPrimaryDomainInformation, DsRoleFreeMemory
> USERENV.dll: DestroyEnvironmentBlock, CreateEnvironmentBlock, UnregisterGPNotification, RegisterGPNotification, -

( 7 exports )
WlDimsLock, WlDimsLogoff, WlDimsLogon, WlDimsShutdown, WlDimsStartShell, WlDimsStartup, WlDimsUnlock

 

[Swisstreasure]

Afredolino

Ich habe langsam das Gefühl, dass es sich um einen Programmfehler handelt und nicht um einen Schädling.

Poste nochmals ein neues Combofix-Log, nimmt mich wunder ob der Eintrag noch drin ist.

Es könnte wirklich sein, dass das Problem mit dem Programm Cyberlink zu tun hat.

Gruss Swiss

 

[Afredolino]

Hallo Swisstreasur

Von Cyberlink sollte nicht's mehr auf meinem PC sein, da hab ich alles gelöscht. Auch in der Registry finde ich nicht's mehr. Hier das Log von Combofix:

ComboFix 08-07-25.6 - F.Dietschi 2008-07-27 19:53:46.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.186 [GMT 2:00]ausgeführt von:: C:\Dokumente und Einstellungen\F.Dietschi\Eigene Dateien\Downloads\PcTip\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-27 bis 2008-07-27 ))))))))))))))))))))))))))))))
.

2008-07-26 18:33 . 2008-07-26 18:33 <DIR> d-------- C:\Deckard
2008-07-26 15:41 . 2008-07-26 17:26 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-07-26 13:07 . 2008-07-26 13:07 <DIR> d-------- C:\Programme\CCleaner
2008-07-25 18:13 . 2001-11-14 20:19 16,384 --a------ C:\WINDOWS\system32\FileOps.exe
2008-07-25 18:07 . 2008-07-25 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-07-25 18:00 . 2005-09-01 11:03 127,488 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-07-25 18:00 . 2005-09-01 11:03 5,888 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-07-25 17:59 . 2008-07-26 11:34 <DIR> d-------- C:\Programme\AskTBar
2008-07-23 19:20 . 2008-07-23 19:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-23 19:20 . 2008-07-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\Malwarebytes
2008-07-23 19:20 . 2008-07-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-23 19:20 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-23 19:20 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-26 13:35 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-25 16:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-25 16:05 --------- d-----w C:\Programme\Gemeinsame Dateien\LightScribe
2008-07-25 15:59 --------- d-----w C:\Programme\Ahead
2008-07-24 14:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-16 22:17 --------- d-----w C:\Programme\Java
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-04 21:39 --------- d-----w C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\ZoomBrowser EX
2008-06-04 21:37 --------- d-----w C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\CameraWindowDC
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-02 17:36 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-20 17:36 21,896 ----a-w C:\Dokumente und Einstellungen\F.Dietschi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-10-01 14:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((( snapshot@2008-07-26_13.26.39.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-26 13:41:15 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll
+ 2008-07-26 13:41:15 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll
+ 2008-07-26 13:41:15 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll
+ 2008-07-26 13:41:16 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll
+ 2008-01-09 13:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 13:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
+ 2008-07-26 13:41:16 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll
+ 2008-07-26 13:41:15 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll
+ 2008-01-09 13:01:48 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
- 2008-07-26 09:38:46 84,678 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-27 12:57:22 84,678 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-07-26 09:38:46 71,250 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-27 12:57:22 71,250 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-07-26 09:38:46 458,924 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-27 12:57:22 458,924 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-07-26 09:38:46 441,184 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-27 12:57:22 441,184 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SB Audigy 2 Startup Menu"="/L:GER" [X]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-22 20:12 67128]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 19:46 68856]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2008-06-09 10:16 2363392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 23:32 53248]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 15:54 241664]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
"CTSysVol"="C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe" [2002-10-29 09:18 49152]
"CTDVDDet"="C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE" [2002-09-30 01:00 45056]
"PivotSoftware"="C:\Programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 12:17 694008]
"DT HPW"="C:\Programme\Portrait Displays\HP My Display\DTHtml.exe" [2007-05-02 15:18 281088]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 17:24 54840]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 21:29 266497]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"CTHelper"="CTHELPER.EXE" [2003-02-21 00:45 28672 C:\WINDOWS\system32\CTHELPER.EXE]
"AsioReg"="CTASIO.DLL" [2003-02-21 00:27 110592 C:\WINDOWS\system32\CTASIO.DLL]
"Logitech Utility"="Logi_MwX.Exe" [2003-03-04 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-15 18:36:57 110592]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 23:31:38 241664]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-29 00:06:36 53248]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-22 20:12:06 67128]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Adobe\\Photoshop 6.0\\ImageReady.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 17:11]
R1 Pivot;Pivot;C:\WINDOWS\system32\drivers\pivot.sys [2007-02-09 12:17]
R2 McciCMService;McciCMService;C:\Programme\Gemeinsame Dateien\Motive\McciCMService.exe [2008-02-07 11:38]
S3 iatmunin;iatmunin;C:\DOKUME~1\F7684~1.DIE\LOKALE~1\Temp\iatmunin.sys []
S3 MREMP50;MREMP50 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MREMP50.SYS [2008-02-07 11:38]
S3 MREMP50a64;MREMP50a64 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MREMP50a64.SYS []
S3 MRESP50;MRESP50 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MRESP50.SYS [2008-02-07 11:38]
S3 MRESP50a64;MRESP50a64 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\Motive\MRESP50a64.SYS []
S3 pivotmou;Pivot Mouse/Pointers Filter Driver;C:\WINDOWS\system32\drivers\pivotmou.sys [2007-02-09 12:17]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b075400-7fd0-11db-93b9-000cf1dd8ea9}]
\Shell\AutoRun\command - F:\travel&work.exe
\Shell\Shell00\Command - F:\travel&work.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.bluewin.ch/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ie
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{08B41494-E8E1-462F-8976-FDE5CF6C0A3B}: NameServer = 195.186.1.110,195.186.1.111
O17 -: HKLM\CCS\Interface\{9ABECBD7-6CC6-4004-B553-BF6FA6D4C577}: NameServer = 195.186.1.110,195.186.1.111
O18 -: Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} - hxxp://www.extrafilm.ch/ImageUploader4.cab
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader4.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader4.ocx


**************************************************************************

disk not found C:\

please note that you need administrator rights to perform deep scan
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\Portrait Displays\Pivot Software\winphook.dll
.
Zeit der Fertigstellung: 2008-07-27 19:58:36
ComboFix-quarantined-files.txt 2008-07-27 17:58:31
ComboFix2.txt 2008-07-26 11:26:57

Pre-Run: 18 Verzeichnis(se), 187,372,027,904 Bytes frei
Post-Run: 21 Verzeichnis(se), 187,380,465,664 Bytes frei

178 --- E O F --- 2008-07-09 20:11:03

Gruss
Afredolino

 

[Swisstreasure]

Afredolino

Also das Log ist sauber. Es muss irgend ein Softwarefehler sein. Vielleicht können hier die Software Spezialisten weiterhelfen. Ich nehme an, das Problem besteht immernoch?

Du könntest mal schauen welche Programme du im Autostart hast und unter Systemsteuerung->Software. Dann die Programme welche du nicht mehr benötigst löschen.

Unter Start --> Ausführen --> gib ein eventvwr kannst du noch schauen ob dort Fehlermeldzungen vorhanden sind.

Eine andere Möglichkeit weiss ich leider auch nicht.

Gruss Swiss

 

[BlackIceDefender]

Starforce

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2005-12-06 17:11]

scheint eine problematische 'DRM' Software zu sein....

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{8b075400-7fd0-11db-93b9-000cf1dd8ea9}]
\Shell\AutoRun\command - F:\travel&work.exe
\Shell\Shell00\Command - F:\travel&work.exe

ergibt fehlermeldungen, wenn disk f nicht angeschlossen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.EXE " [2002-02-04 23:32 53248]

was ist das denn?

S3 iatmunin;iatmunin;C:\DOKUME~1\F7684~1.DIE\LOKALE~1 \Temp\iatmunin.sys []

ein hw-driver (.sys) in einem tempraeren verzeichnis? sehr suspekt. auch das userverzeichnis 'F7684~1.DIE'.

 

[Afredolino]

Hallo Swisstreasur

Du hast recht, das kleine Problem besteht immernoch. Ich habe jetzt noch die Autostart-Einträge kontrolliert:

-Adobe Gamma Loader.exe
-HP Digital Imaging Monitor
-HP Image Zone Schnellstart
-Logitech Desktop Messanger
-Microsoft Office

Unter "eventvwr" sind nur ganz vereinzelte Fehlermeldungen aufgeführt. Sie betreffen hauptsächlich den "Service Control Manager". Es ist aber pro Tag höchstens eine Fehlermeldung. Ich denke, daran kann's nicht liegen.

Auch in der Software habe ich eigentlich keine unnötigen Programme, da sollte alles in Ordnung sein. Es läuft ja auch sonst alles prima.

Naja, mal abwarten. Es kommt bestimmt wiedermal ein Zeitpunkt, wo ich das System neu aufsetzen muss. Solange sonst alles reibungslos funktioniert, unternehme ich vorerst nichts.

Erstmal recht herzlichen Dank für deine Hilfe. Zumindest habe ich durch dich gelernt, wie man seinen PC auf Schädlinge untersucht und bereinigt. Das ist schon viel wert, danke.

Gruss
Afredolino

 

[Swisstreasure]

@ BlackIceDefender

Schau Dir die Daten an, diese Dateien wurden schon länger geladen:

sfsync03.sys [2005-12-06 17:11]
UpdReg.EXE" [2000-05-11 02:00 90112]
REGSHAVE.EXE " [2002-02-04 23:32 53248]

Das dürfte das Problem nicht verursacht haben.

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{8b075400-7fd0-11db-93b9-000cf1dd8ea9}]
\Shell\AutoRun\command - F:\travel&work.exe
\Shell\Shell00\Command - F:\travel&work.exe

USB-Stick


Afredolino: Du kannst diese Datei bei www.Virustotal.com/de prüfen lassen:

F:\travel&work.exe

Gruss Swiss

 

[Afredolino]

Hallo Swisstreasur

Wo finde ich die Datei? "F" ist ein Laufwerk, das eigentlich nicht auf meinem PC installiert ist. Wenn ich das untersuchen will, verlangt es immer, das ich einen Datenträger einlegen soll.

Ich hatte mal einen USB-Stick meines Vaters angehängt, um ein paar Bilder zu übertragen. Das ist aber schon eine Weile her. Bleibt dieser "Wechseldatenträger" trotzdem auf meinem PC gespeichert, auch wenn er nicht mehr angeschlossen ist?

Gruss
Afredolino

 

[BlackIceDefender]

Ich habe nur darauf hingewiesen, dass die erwaehnten Punkte suspekt sind. das urspruengliche problem (oeffnen des ordners system32) ist ja nach hinweis auf die entsprechenden microsoft kb-eintraege geloest.
Und Starforce kann nicht einfach ignorieret werden. und den treiber in %user%\...\temp auch nicht.

das zeugs wegen f: ist ein mountpoint. die entsprechenden registratur=eintraege koennen geloescht werden.

und noch was;

erster post war: 23.07.2008, 14:05
heute ist 28.7.
macht 5 tage.

 

[Afredolino]

Hallo BlackIceDefender

Kann ich dieses Laufwerk "F" nur in der Registry löschen? Mit Rechtsklick ist es nicht möglich.

Wo in der Registry muss ich da dieses Laufwerk suchen? Ich will da nicht's falsch machen. So gut kenne ich mich da nicht aus.

Gruss
Afredolino

 

[BlackIceDefender]

mach folgendes: start->ausfuehren (run) und im eingabefeld regedit.exe.
dann unter datei -> export , dort bei radiobutton sicherstellen, dass fuer range alles angeklickt ist. dateiname angeben: z.b. exportall20080728.

dies sichert die gesamte systemregistratur, sodass bei fehlern zurueckgespielt werden kann.

danach:

hive [HKEY_CURRENT_USER] aufklappen
pfad software aufklappen
pfad microsoft aufklappn
pfad window
pfad currentversion,
explorer,
mountpoints2
dann Klassen-ID {8b075400-7fd0-11db-93b9-000cf1dd8ea9} aufklappen,
dann shell.
dann autoplay loeschen.
und shell00 loeschen.

 

[Apollo2007]

Mache folgendes: Ausführen -> msconfig -> Systemstart,
Wenn da ein Eintrag "/L:GER" steht Hacken weg und neustarten.
Dieser Eintrag verursacht der Treiber der Soundkarte und ist DELL-Typisch.
Nach jedem Treiberupdate muss der Hacken wieder weg.
Gruss Apollo2007