hallo
Ich bin relativ neu hier und hoffe das ich alles richtig mache,ansonsten Bitte ich um Nachsicht
ich bekomme neuerdings die genannte Meldung beim Booten und möchte Wissen woher das kommt
Ich habe WinXP Pro
GData Internetsecurity 2008

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:29, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\BinarySense\HDDlife 3\hldasvc.exe
C:\Programme\BinarySense\HDDlife 3\hldasvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Registry Defragmentation\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\OO Software\CleverCache\OOCCCTRL.EXE
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\IncrediMail\bin\ImApp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Lavasoft\Ad-Aware SE Plus\Ad-Aware.exe
C:\Dokumente und Einstellungen\Frank\Desktop\SICHERHEIT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OOCCCTRL.EXE] "C:\Programme\OO Software\CleverCache\OOCCCTRL.EXE" /tasktray
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [68a9a52e] rundll32.exe "C:\WINDOWS\system32\ssxshkni.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA6F281A-6A04-4058-98E2-9841EC959974}: NameServer = 217.237.151.205 217.237.148.70
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\BinarySense\HDDlife 3\hlAPP.dll" (file missing)
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - C:\Programme\BinarySense\HDDlife 3\hldasvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe
O23 - Service: Roxio UPnP Renderer 9 - Unknown owner - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe (file missing)
O23 - Service: Roxio Upnp Server 9 - Unknown owner - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
O23 - Service: Update Center (Windows Update Center) - Unknown owner - C:\WINDOWS\scvhost.exe (file missing)

--
End of file - 12793 bytes

Hallo MaxPeter und






Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\ssxshkni.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

| עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Česky | Polski | Español | English
Virus Total
Virustotal analysiert verdächtige Dateien und erleichtert die schnelle Erkennung von Viren, Würmern, Trojanern und jeglicher Art von Malware, welche von den Antivirus-Engines festgestellt werden. Weitere Informationen...
Datei ssxshkni.dll empfangen 2008.05.15 21:04:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/32 (6.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.15 -
DrWeb 4.44.0.09170 2008.05.15 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 -
Kaspersky 7.0.0.125 2008.05.15 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.14 -
Prevx1 V2 2008.05.15 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.15 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 91264 bytes
MD5...: 87c26196fa9103adee0a3768c821e04f
SHA1..: 2cf6523225fd8c683ae7928b4346cd88a558e081
SHA256: 659ca7e6126de079d79819b46a53c72276b3262541cb824b76726c08eff95239
SHA512: 60c4af972e3b231e4750a228e21926a696d857913aae921cfca9bc883f95a31f
2ded76831f31711adbc08f198c88e2a47e356d32c8d9e9d6fe7ec7e089e68f47
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100010d3
timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.83 3d61f6137607b59b9ea5dd85f87c619f
CRT 0x3000 0x1000 0xa00 4.80 eda767b34610cb6e8a96d51b70f10163
.bss 0x4000 0x1000 0xe00 7.95 1c92856cd17722439c9aea4ff75b9a52
DATA 0x5000 0x3000 0x2400 7.98 7bdcbbe6c4b39c64ede1014d4d90471f
.reloc 0x8000 0x2000 0x1400 7.96 5664a9cb7af598fabd7cca6a4fb9052c
.reloc 0xa000 0x4000 0x3600 7.99 0e46bccc7db342ae48a16c2e6ff299d7
CRT 0xe000 0x3000 0x2200 7.98 44d987eb5328fd229e3f187e45c98366
.rsrc 0x11000 0x15000 0x7e80 7.97 64999d7ec1037861d619aa4421076faa

( 3 imports )
> kernel32.dll: CloseHandle, CreateFileA, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, FindClose, FindFirstFileA, FreeLibrary, GetCommandLineA, GetCurrentThreadId, GetFileSize, GetFileType, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, InitializeCriticalSection, LeaveCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, lstrcpyn, lstrlen, MultiByteToWideChar, OpenMutexA, OpenProcess, ResumeThread, Sleep, TerminateThread, VirtualAlloc, VirtualFree, VirtualProtect, WaitForSingleObject, WideCharToMultiByte, WinExec
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, GetWindowDC, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA

( 0 exports )
Prevx info: MENLJWHK.DLL - Prevx

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Scan another file
VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com

hallo
ich hoffe ich mache das so richtig,habe alle Anweiseungen befolgt.
Neues Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:29, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\OO Software\CleverCache\OOCCCTRL.EXE
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\IncrediMail\bin\ImApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\BinarySense\HDDlife 3\hldasvc.exe
C:\Programme\BinarySense\HDDlife 3\hldasvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Registry Defragmentation\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\Frank\Desktop\SICHERHEIT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://google.de/]Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = tp://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OOCCCTRL.EXE] "C:\Programme\OO Software\CleverCache\OOCCCTRL.EXE" /tasktray
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [68a9a52e] rundll32.exe "C:\WINDOWS\system32\ssxshkni.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - tp://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - tps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA6F281A-6A04-4058-98E2-9841EC959974}: NameServer = 217.237.151.205 217.237.148.70
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\BinarySense\HDDlife 3\hlAPP.dll" (file missing)
O20 - Winlogon Notify: ljJBTKbY - ljJBTKbY.dll (file missing)
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: HDDlife HDD Access service - BinarySense, Inc. - C:\Programme\BinarySense\HDDlife 3\hldasvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe
O23 - Service: Roxio UPnP Renderer 9 - Unknown owner - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe (file missing)
O23 - Service: Roxio Upnp Server 9 - Unknown owner - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (file missing)
O23 - Service: Update Center (Windows Update Center) - Unknown owner - C:\WINDOWS\scvhost.exe (file missing)

--
End of file - 13877 bytes

SDFix: Version 1.182
Run by Frank on 16.05.2008 at 14:34

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Frank\Desktop\SDFx\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\server.exe - Deleted
C:\WINDOWS\system32\vx.tll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-16 14:39:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:7e,96,56,85,7b,2e,67,08,c4,31,de,27,39,62,7c,ea,bb,39,e0,d6,70,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:7e,96,56,85,7b,2e,67,08,c4,31,de,27,39,62,7c,ea,bb,39,e0,d6,70,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="B80E080586B3F9CD70BEC7CD2FDAA6DC87A0D8F31ABD620B292EC582A9A293769016840F38BBEEA1CB494EB78C3DB1466522BFBAA6832FA45185 D313D64BFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6678EDD5E5BE2F6E667A6A0AC4980AC79 33A2D97226D213B555A8714885B713C9A839AD1A7E7E48D260402B8A869BF15D056EFB8012C830ADDF438CE260EA6BC1481FFE8A290B7275E09C16035D192DE2553C2A1CF500641DB7E63A C7CE8A0CB963AF844C181A2CA7F6FBAE475628D05A55688275EB1B8C414286395E3DED8B0C83EC533D5A9F36C81C8F84C5BF7BE2CC8FEC2E30A5AD1AE5BA0E6B1FDCA3646A35CD27CA40C5 3411CF7ACB84ABFA5212943D7A889577E1A9615B5699A4E9F45B8ABEDFF7606A2C8793D55C9BF33F6CDA773E57C975729D03FB3FA370CA387FB4191DFDDC969E8B0C6F2DB237319768A950 C65A5541496BB653812259CF342AA6F9BDABA47EA79F4EEC016E184407DC55BAA6BBA0B7DBCB62335BC39DF13C00AE4DE4B08EFC009DD61BC3D2904FC3C708D51E59B4DD3C2475EBFA1D9D B7DFEEA332CFFDECB5541C7D8DDEC70B3AB78840C56032B0FBB3BE335401E9C9E963C9AC4E2D2629940696EF592F5A82AF81E253B119ED439E3EC8B4438506A996414749CC205E3C47AB6B B1198239889EF480E3C463D3B21589D2631512F4D60D248047D9BE8437BE0D5F17ED1E39C03A986D7031D151D874F9D2012B235BFE64EDF5CC2915153CB22A1A4AF63B52627AA41A46A8E7 F62393A6A2A0E9AC846674B007D2ED2234821D3226485E039EBB9A89DA87E19FF81110DB7EAA3B93DD615BB7FC2663D6A8D63B0CF2E34B9760AB9869E72C9AE5B139C918895A8933F8DAF8 FD80E6471E5C9690D055C26F0CF9A6381ADDFD129A1D46E390C7BEC6588A51F3B4210ADACF5FB5E24D82DEFBE974B480A7BD1D8A945C7347AA233C68C46F56B4C05058623CE43CB9059685 27AB7A73BC4F6A7B4D9C34112004E78BE5AF2312683965EE2A26424467AB11D72E41DC11FB052DDEA4EE8E875E6A49B73B41C93C7FEB19BEFDC3F27EFB2CD6CDCB8F0FD4916C33E2613C76 CDB5635CA0EA99A62531598B8CB04297ACCD22ACAE456EA81414638BF6562A9DF29FA419F8784AA42EF3B43FEF16BEEF277660C099E0A966BB5FF6ABDD5BD15A96561A5ECA6C59D1CD08E7 1A56094CE5D8D36D9FFE6982A84D92E86AAD4C40246D5CE2ECEFD43FDF0EEB0FE581687302C18A80BE272D2A71DB903186D089F5974374546B98BF6BA60E657A5185142E75F27E8875A9FD CAEA1180F89E08F4697673A6F3E048C4409C7EFD2F6E4BF16B9017D9277E75B3815EA74DA0B7637701A5F0BFFEBB58F91362278365B40FEB8ECC660CB1F7CBA8DA3E"
"OOCC06.00.00.01WSSV"="083DDD9C19EEE4D614308D9DF49D0E737394ED0C594C2670E9979BAAB11AC2D328E9B092FD374FEB8D050C61B8AA39CE37F1E37E132F6F6263A9FEBC9E127BE CC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6678EDD5E5BE2F6E6675D575E7D6A3B9808FEBC9E127BECC74C9 23F41C9D3A2A9D09D2EA093FA58C5F43D02BD680CCD06985966619A0417F62DE8B357BFADB8EC1D8032A90799AEE12AB8EEA91CED072BDF649D451F030D718E920832AD4B840C5DE395E3F 616F21A63AFD7D7E09879F0DEF6B32A42C9C165E72B0E012692F657C841124227C34E0D5A958020CB6A286F6F2216EC096631FED3817AC6C1DA232DDD43458D5FE611740C140E307635B8D 1302B12400058F97E3196E4599CF244035BCA30626EBB2A1937068B097F427857038C5DA8B313E037A522C8E5549AB4E3C46838AD246E30D8647E687F084B54D20E720E80B77E4E13948E0 9680E88F7EC64662736D4A15F265ABEF43CB47FDEAB3B3F1E7723F6CC0DAC7A6835F064B1CDC3402B92D9EB9208A742683C3002D05EB909EF8C90CC0EB55B388FF229CAAA4CB524D3AD8F5 6CD199CB35ECEA8E904787B18C5951EC364B053CD0B9C65CECFC24BF5174856DF36864D745399CEC1779D356A46BEEE14C8B80DF64B7F5A73311E604DCF7612F815121619AB16D709CD86E 1317D83A8E8D61743A024C0BE32855E0EF5399FAC8A599391692B117FB24E7C41535A3877634DAD746F4E554FF7A599356E767F136B947421627FA980A5E3E052E8B07F8818917063B7E68 8CB270DFAFAEC8C2534EB7CB3EA35B3579F3E9DA45EC0B8548F0DAB689905EC79F5135DBB47556375074D6BE2D6C43DDFA048ADD06D5A0C0643BFC6305F1646999786DA314546CAA702C55 E2814ABF062CC0BEA7F4EECAA35DD20B2F9C6DC3B32FA3C6FBEE50DF24823FEF7BD11B489CEF2B95261936279D61E126388A001765B70E628DCDC2FF036E917FDF38461A4E8E402003813D 53D35C56CF0B404DB0B854B2CB41A23E2BE25DC9F5AA9E7E5C5CBF601395CE69B24EE1D7C18EACDFB6A7363A26B187414B91E839F9AD778ABD2E184CAE2396DB83B74ED0337AA9CA46F3A1 559430BD061A27BE990720835CD966DE8E6094D4864F78D0732D20A524CD5473E51DA3D7B209FED2260B457661DBE03084FD9AB5E8E30D13B34932F189C3C5743FDF28A7E56BA78BFF15D7 9131EDE0B4673A9FCD8D7203060A244D7D675A9FD0DC9EEE525C05FF2DB1A8AB4890AEBC10EB5EDFAA696E56A510FD5D3BF6785220611D953FE4DDF8912A37DE2594DC039CC6E42F57A530 796ED7C5A87C4BB1C7E1E265F6CE0A0F23D054C9A7258879C5673E865D0C8CB699D18E40C6A9DE99DA049CCD0DDE313AF5F5846EE64A18EA050F7613A"
"OODEFRAG10.00.00.01WORKSTATION"="EF840E1DA9EA0436922C0149EB73942ADAB3F8490F11D414B8D9FEA87C605E5BF0F32B5C37C4457D496442D60FC5065648DAEDF5EBB97DA8026A FAB59EC2F508F86FAEBFCE1BC0FE0DC228BC6A32DF18F3BC51822E9A3F2ACE0FE488BD4103F848E0FEB3CA80DFA53C4CBEEBC7F90472FC9C7906323F154EA0647E7DFEBC9E127BECC74CFE BC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A2D97226D213B5559DB7CE019D40AA5CC038D530D6EB3452973A05BA FE4F66AC9A19DD49ABD85129D128CDE44D826FAC2A8DA753D2B2F1E7B97B5F8407CC69018BE20A9BDEC1064CEDE8E1D559FA6DD2E33B64B96C0697AD10A3FE91849FC8AA43FDC1C693868E 470F6EB1762E1F527A6FED22EC3AE9004BFC2B9A5DAEC23437B7B0D57760FD816F5AE9C8C6E345415D42E542E375CFF500E7FB10F07F65408BDE33BB7023B4DEEB7681D45FD8F44008D5D5 CB2B1FDDA95B39785E6E38E8E45CB5330C057BE8853812CFA6E7ADEA3ADA28E4E960766D2EC4E173A90A5B6500B5BB50839FCC0F3D255C623520C7977D8AB92E6C38040DFB75D3B5388BAE 24CFF573A0833E3FCEAE550BBA9859D09F3B9F91C04479907BEBFA84FAF84F3FA3F94FE5AC11F04103E641D54F117BB4DA8B77391E097FA9303F38EF72F945DB16874A9D7254DD7FBB5734 F90B80FEA4576843BDBEF538A2D51A6195C070F19563E2BF2B619BBCF0BB55CEB7CA6AF21853AF07300EEAA812470281F57E326EC6255D5F21DFD55C4C7B9A83D4E17AF9C446A39BA76AE8 E8D097E3751937BBE588A92D2C18C6991E0E26441B19147E4AAAD56BAD3DA618A0FD0D8D700A6BAD99BA74E8FBAB629E76769B5332D01DE72D8960113F0E0A42137A1F34F5D40DCC5C7F3B 0CFAFAF3C2EE0AEE2E37CD2CCD0366F504A2BCCF5891ED7C6E621007FE973F68F8A6A9B107A48F679DEC63DFE7BB0B5A9403EEA66B03410736614FB4D147249A7352E0438EC815014F6DEA D016DE0508F9DCCC3232E324D36DF5AEE3737C9E25A3A4494524A2696B5523C089D886A4294FFE058789C287ACD674CB5BB95ADF8D161916CA34872189234E4685D7607F9F131049356E43 228E9809CA529A1961103BFC77564F6814F21482DFB85B306D80A688CFB6059C6DAB3F2F5073B3075D19677528E3AAC45F746428758951CA0E135135D08113192868B93B09604481D14CD2 76625D9E32618C367A73CFCC9A40D33DB58B7B8419545FDBCF22AC307E04FE1ACCE526A8D941ED0F884DDB031F2AF4F70140806710B75E5DE8CE607F85F8BD3D16F5126979E382563773ED 4E68B5D875DD355D70845D6658D2C677DD34FCC5A145D96A2762F6635CBE62BDAB9F8E190BE9B4D7F39212AC4CB1C2E11B391F8A8FA25F6C4878EAE0D0A89473BD7C"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\ImLc.exe"="C:\\Programme\\IncrediMail\\bin\\ImLc.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\ImPackr.exe"="C:\\Programme\\IncrediMail\\bin\\ImPackr.exe:*:Enabled:IncrediMail"
"C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe:*:Enabled:TrueVector Service"
"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Agent\\agent.exe"="C:\\Programme\\Gemeinsame Dateien\\Acronis\\Agent\\agent.exe:*:Enabled:Acronis Remote Agent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\FlashFXP\\FlashFXP.exe"="C:\\Programme\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\FlashFXP\\FlashFXP.exe"="C:\\Programme\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"

Remaining Files :


File Backups: - C:\DOKUME~1\Frank\Desktop\SDFx\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 3 Nov 2007 48 ..SH. --- "C:\WINDOWS\SE258FE47.tmp"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sat 30 Dec 2006 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 31 Mar 2008 32,256 ...H. --- "C:\Dokumente und Einstellungen\Frank\Desktop\Links f�rs FSB Forum\~WRL1421.tmp"
Sat 29 Mar 2008 31,232 ...H. --- "C:\Dokumente und Einstellungen\Frank\Desktop\Links f�rs FSB Forum\~WRL3117.tmp"
Tue 13 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\069dce5b3a6a576c9856befb57fca0a9\BIT10.tmp"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT109.tmp"
Fri 8 Feb 2008 576,512 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Vorlagen\~WRL0031.tmp"
Sat 15 Dec 2007 536,064 A..H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Vorlagen\~WRL1550.tmp"
Sat 7 Jul 2007 369,664 A..H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Vorlagen\~WRL3306.tmp"
Sun 8 Apr 2007 308,736 A..H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL0005.tmp"
Fri 20 Apr 2007 315,392 A..H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL0159.tmp"
Mon 28 Jan 2008 575,488 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL0318.tmp"
Sun 20 Jan 2008 573,952 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL0489.tmp"
Sun 13 Apr 2008 602,624 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL0818.tmp"
Thu 17 Apr 2008 603,648 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL1452.tmp"
Mon 14 Apr 2008 603,136 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL1514.tmp"
Sun 27 Apr 2008 605,696 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL1956.tmp"
Wed 23 Jan 2008 576,000 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL2081.tmp"
Sat 10 May 2008 610,816 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL2209.tmp"
Tue 22 Jan 2008 575,488 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL3620.tmp"
Mon 21 Jan 2008 574,464 ...H. --- "C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Microsoft\Word\~WRL3779.tmp"

Finished!

ComboFix 08-05-15.3 - Frank 2008-05-16 14:58:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.521 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Frank\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\BPYVB9T2\
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#[
C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#
C:\update.exe
C:\WINDOWS\system32\1.txt
C:\WINDOWS\system32\cfatdodv.ini
C:\WINDOWS\system32\cpbribwh.ini
C:\WINDOWS\system32\ddcYoNDs.dll
C:\WINDOWS\system32\hvhurfoa.ini
C:\WINDOWS\system32\ijifdkkk.ini
C:\WINDOWS\system32\inkhsxss.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oklgwbns.ini
C:\WINDOWS\system32\sDNoYcdd.ini
C:\WINDOWS\system32\sDNoYcdd.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 ))))))))))))))))))))))))))))))
.

2008-05-16 15:05 . 2008-05-16 15:05 294 ---hs---- C:\WINDOWS\system32\inkhsxss.ini
2008-05-16 14:31 . 2008-05-16 14:31 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-15 18:46 . 2008-05-15 18:46 91,264 --a------ C:\WINDOWS\system32\ssxshkni.dll
2008-05-15 16:57 . 2008-05-15 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Acronis
2008-05-02 11:49 . 2008-05-02 11:49 99,264 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-05-01 13:54 . 2008-05-01 13:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-05-01 13:44 . 2008-05-01 13:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-04-19 15:31 . 2008-04-19 15:31 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\aborange
2008-04-19 15:30 . 2008-04-19 15:30 <DIR> d-------- C:\Programme\aborange Scheduler
2008-04-19 15:09 . 2008-04-19 15:09 <DIR> d-------- C:\fsaua.data
2008-04-19 14:58 . 2008-04-19 14:58 <DIR> d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\ICQ Toolbar
2008-04-19 12:53 . 2008-04-19 13:01 <DIR> d-------- C:\Programme\MSECACHE
2008-04-19 11:10 . 2008-04-19 11:10 <DIR> d-------- C:\Programme\MP3-DJ
2008-04-19 11:10 . 2000-06-08 17:00 1,064,960 --a------ C:\WINDOWS\system32\MSJET35.DLL
2008-04-19 11:10 . 2000-06-08 17:00 430,080 --a------ C:\WINDOWS\system32\MSREPL35.DLL
2008-04-19 11:10 . 1996-12-14 00:00 254,976 --a------ C:\WINDOWS\system32\MSEXCL35.DLL
2008-04-19 11:10 . 1998-04-24 00:00 252,176 --a------ C:\WINDOWS\system32\MSRD2X35.DLL
2008-04-19 11:10 . 1998-04-24 00:00 148,240 --a------ C:\WINDOWS\system32\MSJINT35.DLL
2008-04-19 11:10 . 1998-04-24 00:00 24,848 --a------ C:\WINDOWS\system32\MSJTER35.DLL
2008-04-16 19:08 . 2008-04-16 19:46 <DIR> d-------- C:\Programme\Security Task Manager
1 Datei(en) . 4,724 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 12:53 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-15 16:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-05-14 19:23 --------- d-----w C:\Programme\ICQToolbar
2008-05-13 13:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-05-11 22:51 --------- d-----w C:\Programme\eMule
2008-05-11 19:18 --------- d-----w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\uTorrent
2008-05-01 11:44 --------- d-----w C:\Programme\IncrediMail
2008-04-19 14:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-19 11:14 --------- d-----w C:\Programme\SmartSound Software
2008-04-18 11:42 --------- d-----w C:\Programme\Registry Defragmentation
2008-04-17 14:46 --------- d-----w C:\Programme\ICQ6
2008-04-11 17:36 47,360 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\pcouffin.sys
2008-04-11 17:36 --------- d-----w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Vso
2008-04-11 17:02 --------- d-----w C:\Programme\SlySoft
2008-04-11 16:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-04-05 11:52 --------- d-----w C:\Programme\Plugins
2008-03-30 11:26 --------- d-----w C:\Programme\WinPcap
2008-03-30 09:47 --------- d-----w C:\Programme\DivX
2008-03-25 17:51 --------- d-----w C:\Programme\Lexmark 1200 Series
2008-03-17 16:47 --------- d-----w C:\Programme\Spyware Doctor
2008-03-09 19:48 691,545 ----a-w C:\WINDOWS\unins001.exe
2008-01-20 14:42 93,784 ----a-w C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-07-03 20:09 140,800 ----a-w C:\Programme\mozilla firefox\plugins\al2np.dll
2007-09-28 16:08 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2007-09-28 16:08 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2007-09-28 16:08 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 12:28 139264]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2008-01-22 15:06 243072]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-14 14:17 414976]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-05-02 14:55 2091968]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 11:20 6803456]
"GDFirewallTray"="C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe" [2007-10-25 12:09 1189552]
"AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2007-11-05 16:17 603720]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 12:06 2622104]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-12-03 12:09 911184]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 12:06 140568]
"OOCCCTRL.EXE"="C:\Programme\OO Software\CleverCache\OOCCCTRL.exe" [2007-01-28 15:08 1911568]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 03:08 2512392]
"Lexmark 1200 Series"="C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 14:26 57344]
"68a9a52e"="C:\WINDOWS\system32\ssxshkni.dll" [2008-05-15 18:46 91264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 14:27 176128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJBTKbY]
ljJBTKbY.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg30.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImLc.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImPackr.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Agent\\agent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4358:TCP"= 4358:TCPpLive
"5903:UDP"= 5903:UDPpLive
"14592:TCP"= 14592:TCP:BitComet 14592 TCP
"14592:UDP"= 14592:UDP:BitComet 14592 UDP
"16015:TCP"= 16015:TCP:BitComet 16015 TCP
"16015:UDP"= 16015:UDP:BitComet 16015 UDP
"19068:TCP"= 19068:TCP:BitComet 19068 TCP
"19068:UDP"= 19068:UDP:BitComet 19068 UDP
"18318:TCP"= 18318:TCP:BitComet 18318 TCP
"18318:UDP"= 18318:UDP:BitComet 18318 UDP

R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2008-01-06 18:16]
R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 11:41]
R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 11:57]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-13 13:59]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-10-22 20:08]
R2 AcronisAgent;Acronis Remote Agent;"C:\Programme\Gemeinsame Dateien\Acronis\Agent\agent.exe" [2006-07-18 15:21]
R2 AVKProxy;G DATA AntiVirus Proxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2007-10-26 12:16]
R2 AVKService;G DATA Scheduler;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2007-09-27 16:10]
R2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2007-10-08 12:43]
R2 CA_LIC_CLNT;CA License Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2004-08-31 15:21]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-01-06 18:16]
R2 HDDlife HDD Access service;HDDlife HDD Access service;"C:\Programme\BinarySense\HDDlife 3\hldasvc.exe" [2007-06-07 16:09]
R2 LogWatch;Event Log Watch;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2004-07-23 16:06]
R2 PStrip;PStrip;C:\WINDOWS\system32\drivers\pstrip.sys [2007-07-15 03:37]
R2 TryAndDecideService;Acronis Try And Decide Service;"C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe" [2007-12-03 12:26]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2007-10-24 15:26]
R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-01-06 18:20]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-01-06 18:20]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53]
S2 Windows Update Center;Update Center;"C:\WINDOWS\scvhost.exe" []
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\Frank\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 19:31]
S3 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-08-01 15:36]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-12-15 13:03]
S4 Block Level Filtering Service;Block Level Filtering Service;C:\WINDOWS\svchost.exe []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-02-12 07:32:40 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-16 15:04:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\inkhsxss.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\oreans32]
"ImagePath"="\"\""
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ssxshkni.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\OO Software\CleverCache\ooccag.exe
C:\Programme\Registry Defragmentation\RegManServ.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-16 15:09:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-16 13:09:20

21 Verzeichnis(se), 29,282,975,744 Bytes frei
24 Verzeichnis(se), 29,190,131,712 Bytes frei

230 --- E O F --- 2008-05-13 19:10:03

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\ssxshkni.dll

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

hallo
vielen vielen Dank für eure Hilfe,ich habe keine Probleme mehr und alles läuft wieder ganz normal.
Gruß,MaxPeter

Es ist schön wenn alles wieder normal läuft, jedoch könnte dies nicht lange anhalten, daher solltest du zumindest noch diese Datei überprüfen lassen:


C:\WINDOWS\system32\ssxshkni.dll

hi
habe ich gemacht

Datei ssxshkni.dll empfangen 2008.05.17 21:20:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/32 (12.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 -
Authentium 5.1.0.4 2008.05.17 -
Avast 4.8.1195.0 2008.05.17 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.17 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.17 -
Fortinet 3.14.0.0 2008.05.17 W32/VUNDO.BSK!tr
GData 2.0.7306.1023 2008.05.17 -
Ikarus T3.1.1.26.0 2008.05.17 -
Kaspersky 7.0.0.125 2008.05.17 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3106 2008.05.16 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.17 -
Prevx1 V2 2008.05.17 Cloaked Malware
Rising 20.44.52.00 2008.05.17 -
Sophos 4.29.0 2008.05.17 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.17 Trojan.Vundo
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.17 -
Webwasher-Gateway 6.6.2 2008.05.17 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 91264 bytes
MD5...: 87c26196fa9103adee0a3768c821e04f
SHA1..: 2cf6523225fd8c683ae7928b4346cd88a558e081
SHA256: 659ca7e6126de079d79819b46a53c72276b3262541cb824b76726c08eff95239
SHA512: 60c4af972e3b231e4750a228e21926a696d857913aae921cfca9bc883f95a31f
2ded76831f31711adbc08f198c88e2a47e356d32c8d9e9d6fe7ec7e089e68f47
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100010d3
timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.83 3d61f6137607b59b9ea5dd85f87c619f
CRT 0x3000 0x1000 0xa00 4.80 eda767b34610cb6e8a96d51b70f10163
.bss 0x4000 0x1000 0xe00 7.95 1c92856cd17722439c9aea4ff75b9a52
DATA 0x5000 0x3000 0x2400 7.98 7bdcbbe6c4b39c64ede1014d4d90471f
.reloc 0x8000 0x2000 0x1400 7.96 5664a9cb7af598fabd7cca6a4fb9052c
.reloc 0xa000 0x4000 0x3600 7.99 0e46bccc7db342ae48a16c2e6ff299d7
CRT 0xe000 0x3000 0x2200 7.98 44d987eb5328fd229e3f187e45c98366
.rsrc 0x11000 0x15000 0x7e80 7.97 64999d7ec1037861d619aa4421076faa

( 3 imports )
> kernel32.dll: CloseHandle, CreateFileA, DeleteCriticalSection, DeleteFileA, EnterCriticalSection, FindClose, FindFirstFileA, FreeLibrary, GetCommandLineA, GetCurrentThreadId, GetFileSize, GetFileType, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, InitializeCriticalSection, LeaveCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, lstrcpyn, lstrlen, MultiByteToWideChar, OpenMutexA, OpenProcess, ResumeThread, Sleep, TerminateThread, VirtualAlloc, VirtualFree, VirtualProtect, WaitForSingleObject, WideCharToMultiByte, WinExec
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, GetWindowDC, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA

( 0 exports )
Prevx info: MENLJWHK.DLL - Prevx

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\ssxshkni.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

oh man komme nicht weiter
was muß ich genau eingeben ?
Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")
bekomme immer ne Error Meldung
Müssen die Klammern weg?

Und wo muß ich das einfügen?

Files to delete:
C:\WINDOWS\system32\ssxshkni.dll

Ich sage schon mal danke im voraus für all ihre Mühe
Gruß,MaxPeter

Zitat:

Zitat von MaxPeter

oh man komme nicht weiter
was muß ich genau eingeben ?

Das hier:

Files to delete:
C:\WINDOWS\system32\ssxshkni.dll

Zitat:

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")
bekomme immer ne Error Meldung
Müssen die Klammern weg?

Nein, nur das muss rein:


Files to delete:
C:\WINDOWS\system32\ssxshkni.dll

Zitat:

Und wo muß ich das einfügen?

In das weiße Kästchen...

es kam nach dem neu booten folgende Meldung:
Ist das gut oder schlecht?

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\ssxshkni.dll" not found!
Deletion of file "C:\WINDOWS\system32\ssxshkni.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Dann versuchen wir es mal mit einem anderen Programm:



OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\ssxshkni.dll
         

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!