Hallo,
ich hoffe ihr könnt mir helfen
Denn seit einiger Zeit komme ich nicht mehr auf alle Internet Seiten und es öffnet sich Werbung, Teils normale, teils welche wo ich aufgefordert werde einen Virenscanner zu Installieren. Diese Fenster kommen auch, wenn ich den Internet Explorer schon einige Minuten geschlossen habe.
Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch

Hier nun also mein HiJackThis Log

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:40:43, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.web.de/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/de/?status=login
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht**tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [146b1df4] rundll32.exe "C:\WINDOWS\system32\fchdwgyw.dll",b
O4 - HKLM\..\Run: [BM17582e68] Rundll32.exe "C:\WINDOWS\system32\acmjexrx.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**tp://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196957286750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht**tp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197100059562
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**tp://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - h**p://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - ht**p://www.shockwave.com/content/peggle/sis/popcaploader_v10_en.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://www.flatcast.info/objects/NpFv415.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://www.flatcast.info/objects/NpFv41629.dll
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://www.gutchat.de/control/msnchat45.cab
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7962 bytes
         

Danke schon einmal im Vorraus
Maichen

Zitat:

Zitat von Maichen

Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch.

Nicht so voreilig, bitte.

Diese beiden Dateien bitte bei virustotal.com hochladen und prüfen lassen. Anschliessend den vollständigen Scanreport inklsuive sämtlicher Angaben wie Größe, Hash etc hier posten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\fchdwgyw.dll
C:\WINDOWS\system32\acmjexrx.dll
         

Unter Umständen müssen vorher versteckte Dateien sichtbar gemacht werden: Anleitung

%ComSpec%

Naja aber ich war schon geschockt, als ich Bitdefender durch laufen ließ, was da so alles kam. Wobei ich Antivir regelmäßig hatte durchlaufen lassen und der mir nie was angezeit hat.
Unsichtbare Datein müssten aufgedeckt sein
Hoffe ich mach das jetzt richtig

C:\WINDOWS\system32\fchdwgyw.dll

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.6.26.0 2008.06.26 - 
AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen 
Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado 
Avast 4.8.1195.0 2008.06.26 - 
AVG 7.5.0.516 2008.06.26 - 
BitDefender 7.2 2008.06.27 - 
CAT-QuickHeal 9.50 2008.06.26 - 
ClamAV 0.93.1 2008.06.27 - 
DrWeb 4.44.0.09170 2008.06.27 - 
eSafe 7.0.17.0 2008.06.26 Suspicious File 
eTrust-Vet 31.6.5910 2008.06.27 - 
Ewido 4.0 2008.06.26 - 
F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado 
F-Secure 7.60.13501.0 2008.06.26 - 
Fortinet 3.14.0.0 2008.06.27 - 
GData 2.0.7306.1023 2008.06.27 - 
Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo 
Kaspersky 7.0.0.125 2008.06.27 - 
McAfee 5326 2008.06.26 - 
Microsoft 1.3704 2008.06.27 - 
NOD32v2 3222 2008.06.26 - 
Norman 5.80.02 2008.06.26 - 
Panda 9.0.0.4 2008.06.26 Suspicious file 
Prevx1 V2 2008.06.27 Fraudulent Security Program 
Rising 20.50.41.00 2008.06.27 - 
Sophos 4.30.0 2008.06.27 - 
Sunbelt 3.0.1176.1 2008.06.26 - 
Symantec 10 2008.06.27 - 
TheHacker 6.2.96.362 2008.06.27 - 
TrendMicro 8.700.0.1004 2008.06.27 - 
VBA32 3.12.6.8 2008.06.27 - 
VirusBuster 4.5.11.0 2008.06.23 - 
Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen 
weitere Informationen 
File size: 84944 bytes 
MD5...: acb3c4c003e59257b6987773ac79fdf8 
SHA1..: e97989a1e55760da1c910d533cfbca28153861f6 
SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f 
SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807
a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100261af
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52
.rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9
.data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7
.rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940
.reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a
dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14

( 2 imports ) 
> KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA
> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA

( 0 exports )
         

C:\WINDOWS\system32\acmjexrx.dll

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.6.26.0 2008.06.26 - 
AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen 
Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado 
Avast 4.8.1195.0 2008.06.26 - 
AVG 7.5.0.516 2008.06.26 - 
BitDefender 7.2 2008.06.27 - 
CAT-QuickHeal 9.50 2008.06.26 - 
ClamAV 0.93.1 2008.06.27 - 
DrWeb 4.44.0.09170 2008.06.27 - 
eSafe 7.0.17.0 2008.06.26 Suspicious File 
eTrust-Vet 31.6.5910 2008.06.27 - 
Ewido 4.0 2008.06.26 - 
F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado 
F-Secure 7.60.13501.0 2008.06.26 - 
Fortinet 3.14.0.0 2008.06.27 - 
GData 2.0.7306.1023 2008.06.27 - 
Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo 
Kaspersky 7.0.0.125 2008.06.27 - 
McAfee 5326 2008.06.26 - 
Microsoft 1.3704 2008.06.27 - 
NOD32v2 3222 2008.06.26 - 
Norman 5.80.02 2008.06.26 - 
Panda 9.0.0.4 2008.06.26 Suspicious file 
Prevx1 V2 2008.06.27 Fraudulent Security Program 
Rising 20.50.41.00 2008.06.27 - 
Sophos 4.30.0 2008.06.27 - 
Sunbelt 3.0.1176.1 2008.06.26 - 
Symantec 10 2008.06.27 - 
TheHacker 6.2.96.362 2008.06.27 - 
TrendMicro 8.700.0.1004 2008.06.27 - 
VBA32 3.12.6.8 2008.06.27 - 
VirusBuster 4.5.11.0 2008.06.23 - 
Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen 
weitere Informationen 
File size: 84944 bytes 
MD5...: acb3c4c003e59257b6987773ac79fdf8 
SHA1..: e97989a1e55760da1c910d533cfbca28153861f6 
SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f 
SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807
a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100261af
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52
.rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9
.data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7
.rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940
.reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a
dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14

( 2 imports ) 
> KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA
> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA

( 0 exports )
         

Vundo/Virtumonde, ein Klassiker, aber leider habe ich das solange nicht mehr gemacht, dass ich das Lieber einem der anderen Helfer überlassen möchte. Ansonsten laufe ich Gefahr, Dir und mir viel Arbeit zu machen und die Sache ist am Ende doch nicht richtig gemacht.

%ComSpec%

1. Malwarebytes
Bitte lasse zuerst Malwarebytes wie beschrieben laufen.

2. Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

3. Erstellung eines neuen HijackThis Logs.
Erstelle bitte ein neues HijackThis File und editiere es wie beschrieben vor dem Posten.

So nun hab ich es endlich geschafft.
Das eine wirkt wie eine mamut Datei also bitte nicht wundern

1.File-Upload.net - mbam-log-6-27-2008--12-39-12-.txt

2.File-Upload.net - filelist27.txt

3.File-Upload.net - hijackthis2.txt

Gehe wiefolgt vor

1. Mit HijackThis Einträge fixen und Dateien löschen

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {5B63AA4D-BB46-4EE1-95CC-0FB3548E8475} - (no file)
O2 - BHO: {f89bd4cf-559c-1d5a-2744-9341ff1b683b} - {b386b1ff-1439-4472-a5d1-c955fc4db98f} - C:\WINDOWS\system32\xobjnyfe.dll


(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Stelle Deinen Rechner wie hier beschrieben ein.
Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\ebluimvr.ini
C:\WINDOWS\system32\bdss.log
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\vEhOYcdd.ini
C:\WINDOWS\system32\fchdwgyw.dll
C:\WINDOWS\system32\acmjexrx.dll
C:\WINDOWS\system32\ddcYOhEv.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\eoayhuwa.ini
C:\WINDOWS\system32\xobjnyfe.dll
C:\WINDOWS\system32\ppadgbyu.dll
C:\WINDOWS\system32\pbwskvmd.ini
C:\WINDOWS\system32\stfasamf.dll
C:\WINDOWS\system32\rqcylggq.dll
C:\WINDOWS\system32\nonxgril.dll
C:\WINDOWS\system32\fqskmkal.ini
C:\WINDOWS\system32\cljybuhw.dll
C:\WINDOWS\system32\fbjnvqeo.dll
C:\WINDOWS\system32\qnutahvf.ini
C:\WINDOWS\system32\lkUutBeg.ini
C:\WINDOWS\system32\ldgaurlx.dll
C:\WINDOWS\system32\lkUutBeg.ini2
C:\WINDOWS\system32\iqddrakx.dll
C:\WINDOWS\system32\qwlrlbjf.dll
C:\WINDOWS\system32\hgyqntph.ini
C:\WINDOWS\system32\lewjjgvc.ini
C:\WINDOWS\system32\posfounl.ini
C:\WINDOWS\system32\nmplcykg.ini
C:\WINDOWS\system32\mhxnidxs.ini
C:\WINDOWS\Kyor.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\BM17582e68.xml
C:\WINDOWS\_delis32.ini
C:\WINDOWS\BM17582e68.txt

Dann starte den Rechner neu.

2. Dateien bei virustotal prüfen lassen


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\TEST.XML
c:\windows\IsUn0407.exe

3. Die Temporären Dateien auf Deinem Rechner löschen.

ATF - The Cleaner

- Lade ATF - The Cleaner
- Doppelklicke die ATF-CLeaner.exe um das Programm zu starten
- Unter Main, wähle alle
- Klicke den Empty selected Button
- Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Wenn Du Opera benutzt, klicke Opera und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Klicke Exit im Main Menü um das Programm zu schließen

4. Den ADS prüfen

ADS In HijackThis nutzen

• Öffne HiJackThis
• Klicke auf "Open the Misc Tools Section"
  
  
  
  
  
• klicke auf "Open ADS Spy."
  
  
  
  
• Stelle den ADS Spy so ein, wie im Bild zu sehen, den Quick Scan deaktivieren und die MD5 Option einschalten
  
  
  
  
• Dann klicke auf "Scan" um Deinen Rechner zu prüfen
• Wenn bei Dir Einträge gefunden wurden, klicke auf "Save log" um die Log Datei zu speichern
• Poste den Inhalt der LogDatei in Deinem nächsten Post

Wow, danke schon mal

bei 1. habe ich alles gelöscht

2. sieht bei mir so aus
C:\TEST.XML

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 - - - 
AntiVir - - - 
Authentium - - - 
Avast - - - 
AVG - - - 
BitDefender - - - 
CAT-QuickHeal - - - 
ClamAV - - - 
DrWeb - - - 
eSafe - - - 
eTrust-Vet - - - 
Ewido - - - 
F-Prot - - - 
F-Secure - - - 
FileAdvisor - - - 
Fortinet - - - 
Ikarus - - - 
Kaspersky - - - 
McAfee - - - 
Microsoft - - - 
NOD32v2 - - - 
Norman - - - 
Panda - - - 
Prevx1 - - - 
Rising - - - 
Sophos - - - 
Sunbelt - - - 
Symantec - - - 
TheHacker - - - 
VBA32 - - - 
VirusBuster - - - 
Webwasher-Gateway - - BlockReason.0 
weitere Informationen 
MD5: 0a9c8d85bfa9b31d1bd3907524c3fd7f 
SHA1: 5c2e8d61fd39fd138f283ace88e8c7fe44205f1b 
SHA256: f46a6494dc2a99e400048b672684db6c88c4aa6ccfcdb5ee05dbda284f8e6d55 
SHA512: 064d3ae4e13a8295a2e865ad86f1bf2cf8f5bd40e0caa9e89c8d45d1514ba50b3d35728b79bbeb4233e186a1a67cd0e8410364eafe98747f8af1f8e429bd7ded
         

c:\windows\IsUn0407.exe

Code: Alles auswählenAufklappen

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.6.27.1 2008.06.27 - 
AntiVir 7.8.0.59 2008.06.27 - 
Authentium 5.1.0.4 2008.06.27 - 
Avast 4.8.1195.0 2008.06.26 - 
AVG 7.5.0.516 2008.06.27 - 
BitDefender 7.2 2008.06.27 - 
CAT-QuickHeal 9.50 2008.06.26 - 
ClamAV 0.93.1 2008.06.27 - 
DrWeb 4.44.0.09170 2008.06.27 - 
eSafe 7.0.17.0 2008.06.26 - 
eTrust-Vet 31.6.5911 2008.06.27 - 
Ewido 4.0 2008.06.27 - 
F-Prot 4.4.4.56 2008.06.27 - 
F-Secure 7.60.13501.0 2008.06.26 - 
Fortinet 3.14.0.0 2008.06.27 - 
GData 2.0.7306.1023 2008.06.27 - 
Ikarus T3.1.1.26.0 2008.06.27 - 
Kaspersky 7.0.0.125 2008.06.27 - 
McAfee 5327 2008.06.27 - 
Microsoft 1.3704 2008.06.27 - 
NOD32v2 3224 2008.06.27 - 
Norman 5.80.02 2008.06.26 - 
Panda 9.0.0.4 2008.06.26 - 
Prevx1 V2 2008.06.27 - 
Rising 20.50.42.00 2008.06.27 - 
Sophos 4.30.0 2008.06.27 - 
Sunbelt 3.0.1176.1 2008.06.26 - 
Symantec 10 2008.06.27 - 
TheHacker 6.2.96.362 2008.06.27 - 
TrendMicro 8.700.0.1004 2008.06.27 - 
VBA32 3.12.6.8 2008.06.27 - 
VirusBuster 4.5.11.0 2008.06.23 - 
Webwasher-Gateway 6.6.2 2008.06.27 - 
weitere Informationen 
File size: 262144 bytes 
MD5...: ac7bd8195aef068f855076af057e44a9 
SHA1..: 7390885f0f8e819aaaab7af0d04be4ea936b1bf1 
SHA256: b3662aa7c32fb99a73b903f3993737d7ed19c0798e5feb4995281db7e2dd1d6b 
SHA512: 5066961a4654a6e320b446b48b094f38169fb865896cefd618572179579caf0e
f43f8098daadf6f20d775632ec3ee55378496d70af9ca8ba91db24f95e8f342f 
PEiD..: InstallShield 2000 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41c330
timedatestamp.....: 0x3638e561 (Thu Oct 29 22:00:01 1998)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f315 0x1f400 6.24 fd4f4cbddcd33f76b523739b629cc3b3
.rdata 0x21000 0x1c0c 0x1e00 5.39 01668df29e4d91578a2309cc44649fc8
.data 0x23000 0x4a7c 0x3800 2.51 8383ed0cfd9809552c7023805b5c9170
.rsrc 0x28000 0x2c000 0x2b600 5.38 b4f02f26b8622aa2101dcdced784f30a

( 7 imports ) 
> KERNEL32.dll: DosDateTimeToFileTime, GetPrivateProfileStringA, GetCurrentProcess, LocalFileTimeToFileTime, SetFileTime, MoveFileExA, SetFilePointer, WriteFile, MoveFileA, GetFileAttributesA, lstrcmpA, SetEndOfFile, lstrcpynA, GetLocalTime, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError, GetCurrentThread, GetCurrentDirectoryA, GlobalReAlloc, FileTimeToLocalFileTime, GetFileTime, FileTimeToDosDateTime, GetPrivateProfileSectionA, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, WinExec, Sleep, GetModuleFileNameA, GetSystemDefaultLCID, MulDiv, GetWindowsDirectoryA, GetTickCount, lstrcatA, lstrcmpiA, lstrlenA, lstrcpyA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GetModuleHandleA, GetSystemInfo, FindResourceA, LoadResource, SizeofResource, FreeResource, LockResource, OpenFile, _hwrite, _lclose, GetVersion, IsDBCSLeadByte, GetSystemDirectoryA, WriteProfileSectionA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GlobalCompact, WriteProfileStringA, GetFileType, LCMapStringA, GetProfileSectionA, GlobalHandle, SetErrorMode, GlobalFree, LoadLibraryA, GetProcAddress, FreeLibrary, FindFirstFileA, RemoveDirectoryA, RtlUnwind, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetSystemTime, GetTimeZoneInformation, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapFree, HeapAlloc, LCMapStringW, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapReAlloc
> USER32.dll: SetDlgItemTextA, LoadStringA, MessageBoxA, EndDialog, DialogBoxParamA, wsprintfA, PeekMessageA, SendDlgItemMessageA, BeginPaint, EndPaint, DefWindowProcA, LoadCursorA, GetClassInfoA, OemToCharA, KillTimer, PostQuitMessage, RegisterClassA, GetSysColor, IsDialogMessageA, CharLowerA, CreateWindowExA, EnableWindow, GetWindow, GetClassNameA, CharUpperA, GetWindowTextA, GetDlgItem, SendMessageA, PostMessageA, SetWindowTextA, GetSystemMetrics, SetWindowPos, ShowWindow, UpdateWindow, SetFocus, IsWindow, RegisterWindowMessageA, GetDC, ReleaseDC, ScreenToClient, SetTimer, LoadIconA, DestroyWindow, LoadBitmapA, CreateDialogParamA, InvalidateRect, IsWindowVisible, CharNextA, InflateRect, CharPrevA, CharToOemA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, ExitWindowsEx, FindWindowA, GetClientRect, FillRect, SetRect, SetRectEmpty, GetWindowLongA, GetWindowRect, DispatchMessageA, TranslateMessage, MessageBeep
> GDI32.dll: CreateDIBitmap, SelectPalette, GetDeviceCaps, CreatePalette, GetSystemPaletteEntries, LineTo, MoveToEx, DeleteObject, CreatePen, CreateFontIndirectA, GetObjectA, DeleteDC, BitBlt, CreateCompatibleDC, RestoreDC, Rectangle, GetStockObject, CreateSolidBrush, IntersectClipRect, SaveDC, CreateCompatibleBitmap, SetBkColor, CreateBitmap, SetPixel, GetTextExtentPointA, SelectObject, RealizePalette
> comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA
> ADVAPI32.dll: AllocateAndInitializeSid, RegCloseKey, RegConnectRegistryA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, CloseServiceHandle, OpenSCManagerA, FreeSid, RegCreateKeyExA, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, RegOpenKeyA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegEnumValueA, EqualSid, GetTokenInformation, OpenThreadToken
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
         

3. der ATF-Cleaner gibt bei mir jedes mal "Keine Rückmeldung"

4. Sieht bei mir so aus

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2  (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980  (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2  (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980  (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtest  (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtest  (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)
         

Sorry hat was gedauert, mir gehts grad etwas xx'*#^o.

Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten GMER laufen zu lassen.

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Kein Problem
File-Upload.net - gmer.txt

Gute Besserung

Zitat:

Zitat von BataAlexander

Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten GMER laufen zu lassen.

Mal so aus einer Bierlaune heraus: Wie wäre es, das Benutzerprofil "Rechner" auf eine FAT-Partition zu verschieben um es dann wieder an den alten Ort zu packen?

%ComSpec%

Zitat:

Zitat von %ComSpec%

das Benutzerprofil "Rechner" auf eine FAT-Partition zu verschieben um es dann wieder an den alten Ort zu packen?

Damit hätten wir den ADS, allerdings ist da noch was anderes.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.