Problem mit Google und search-daily.com Trojaner.

saber2007 · 05.11.2007, 08:21

Hi,

ich habe hier das Forum durchwühlt und gelesen, dass mein Problem wohl nicht einmalig ist. Den Posts ist aber zu entnehmen, dass es individuell gelöst werden muss, da ich bei mir andere Logfile-Inhalte habe. Darum poste ich hier und hoffe, ihr könnt mit helfen.

Sobald ich in google eine Suche ausführe und anschließend ein Suchergebnis anwähle, werde ich auf eine ominöse Webseite von "search-daily.com" umgeleitet. Und das habe ich ganz sicher nicht ausgewählt ;-)

Kaspersky 6.0, Adaware, SpyBot, a2 und einen OnlineScanner habe ich schon rüberlaufen lassen und alle haben nichts gefunden.
Es gab ursprünglich ein Problem mit der Datei consol.dll (wurde mal als infiziert gemeldet), aber auch virustotal zeigt es inzwischen als sauber an. Vielleicht waren meine vorherigen Versuche schon ein bisschen erfolgreich.
Ein Versuch, die Datei über HijackThis zu "fix"en war leider nicht erfolgreich, da sie immer noch vorhanden ist. Laut einiger anderer Beiträge scheint sie mitunter die Ursache des Übels zu sein.

Ich habe hier mal die Logs von HijackThis und ComboFix angehängt, welche ich im abgesicherten Modus von XP gezogen habe.

Habe auf meinem System Windows XP mit aktuellem SP2+Updates als Betriebssystem laufen.

---------------------------------
HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:51, on 04.11.07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\Systemrettung\HiJackThis\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07B0BE72-275B-4BAD-A7E8-AF5A097B7CCD} - C:\WINDOWS\system32\consol.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\Copyshop\CD Copy\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Copyshop\CD Copy\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Downloads und Treiber\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [w810MmHk] "C:\Programme\Arima\LED Display Utility\w810MmHk.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Omnipage] D:\Copyshop\OmniPage\opware32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [InstantOn] C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OneNote\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {C31CA671-C60C-438C-B8C1-955F2AE19F86} - h**p://w*w.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.aldi.com
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - h**p://w*w.trendsecure.com/framework...ex/TmHcmsX.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.co...?1109277765367
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8461 bytes
------------------------------------

------------------------------------
ComboFix Log:
ComboFix 07-10-25.4 - *** 2007-11-04 18:11:20.2 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.287 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\Systemrettung\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-26 bis 2007-11-04 ))))))))))))))))))))))))))))))
.

2007-10-26 18:03 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-26 15:43 <DIR> d-------- C:\Programme\CCleaner
2007-10-24 16:08 <DIR> d-------- C:\Programme\a-squared Free
2007-10-24 15:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-23 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2007-10-22 13:48 <DIR> d-------- C:\Programme\MSXML 4.0
2007-10-21 14:52 18,688 C:\WINDOWS\system32\drivers\rtnmsxlh.dat
2007-10-21 14:52 5,120 C:\WINDOWS\system32\drivers\vevzzptd.dat
2007-10-21 12:48 <DIR> d-------- C:\WINDOWS\pss
2007-10-21 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-19 22:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-19 21:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-19 21:35 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-10-19 21:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-10-19 21:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-19 21:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-19 21:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-19 21:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-19 21:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-19 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Bluetooth Software
2007-10-19 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2007-10-19 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2007-10-19 21:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2007-10-19 21:35 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-19 21:35 156 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2007-10-19 14:41 41,600 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.dll
2007-10-19 14:41 31,360 --a--c--- C:\WINDOWS\system32\dllcache\weitekp9.sys
2007-10-19 14:37 188,480 --a--c--- C:\WINDOWS\system32\dllcache\cfgwiz.exe
2007-10-19 14:37 20,540 --a--c--- C:\WINDOWS\system32\dllcache\author.dll
2007-10-19 14:37 20,540 --a--c--- C:\WINDOWS\system32\dllcache\admin.dll
2007-10-19 14:37 16,439 --a--c--- C:\WINDOWS\system32\dllcache\author.exe
2007-10-19 14:37 16,439 --a--c--- C:\WINDOWS\system32\dllcache\admin.exe
2007-10-19 14:35 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2007-10-19 14:21 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-10-19 14:21 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-10-19 14:21 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2007-10-19 14:21 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-10-19 10:25 107,582 --a------ C:\WINDOWS\system32\consol.dll
2007-10-18 10:52 <DIR> d-------- C:\Programme\iPod
2007-10-18 10:06 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2007-10-18 10:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-18 10:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-10-18 10:03 <DIR> d-------- C:\Programme\Apple Software Update
2007-10-18 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-10-17 11:47 <DIR> d-------- C:\WINDOWS\Sun
2007-10-14 13:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-10-14 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-10-14 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-10-14 13:06 <DIR> d-------- C:\Programme\Microsoft LifeCam
2007-10-14 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten
2007-10-11 19:11 <DIR> d-------- C:\WINDOWS\system32\DRM
2007-10-10 22:16 <DIR> d-------- C:\Programme\PowerArchiver
2007-10-10 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2007-10-10 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
2007-10-10 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OLYMPUS
2007-10-09 21:32 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\X10 Commander
2007-10-09 20:12 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-10-09 19:45 <DIR> d-------- C:\Programme\Steganos Live Encryption Engine 13
2007-10-09 19:07 76,800 --a------ C:\WINDOWS\system32\drivers\SSHDRV84.sys
2007-10-09 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2007-10-09 18:01 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MailFrontier
2007-10-09 17:53 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-10-09 17:29 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-10-09 17:23 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-10-09 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-10-09 17:23 46,930,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-09 17:23 296,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-09 17:00 <DIR> d-------- C:\Programme\DATA BECKER
2007-10-09 17:00 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2007-10-09 17:00 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2007-10-09 16:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-10-09 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2007-10-09 16:34 <DIR> d-------- C:\WINDOWS\Cache
2007-10-09 15:20 <DIR> d-------- C:\Programme\Corel
2007-10-09 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Corel
2007-10-09 15:07 <DIR> d-------- C:\WINDOWS\Corel
2007-10-09 15:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Vbox
2007-10-09 15:02 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-10-09 15:01 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-09 15:01 1,966,696 --a------ C:\WINDOWS\system32\drivers\VX3000.sys
2007-10-09 15:01 709,992 --a------ C:\WINDOWS\vVX3000.exe
2007-10-09 15:01 476,520 --a------ C:\WINDOWS\vVX3000.dll
2007-10-09 15:01 202,088 --a------ C:\WINDOWS\system32\LCCoin14.dll
2007-10-09 15:01 185,704 --a------ C:\WINDOWS\system32\cVX3000.dll
2007-10-09 15:01 116,072 --a------ C:\WINDOWS\VX3000.dll
2007-10-09 14:53 <DIR> d-------- C:\WINDOWS\system32\drivers\umdf
2007-10-09 14:53 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-09 14:47 <DIR> d-------- C:\Programme\OLYMPUS
2007-10-09 14:47 319,488 --a------ C:\WINDOWS\system32\Pvmjpg21.dll
2007-10-09 14:47 13,567 --a------ C:\WINDOWS\system32\drivers\CDRBSDRV.SYS
2007-10-09 14:46 <DIR> d-------- C:\Programme\PIXELA
2007-10-09 14:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-10-09 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScanSoft
2007-10-09 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
2007-10-09 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2007-10-09 12:15 <DIR> d-------- C:\WINDOWS\system32\Adobe
2007-10-09 12:15 <DIR> d-------- C:\WINDOWS\Profiles
2007-10-09 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\***\WINDOWS
2007-10-09 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\***\WINDOWS
2007-10-09 12:15 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterTrust

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-24 21:50 638,408 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-24 21:50 32,684 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-18 08:05 --------- d-----w C:\Programme\QuickTime
2007-10-17 11:21 --------- d-----w C:\Programme\Microsoft Works
2007-10-14 11:23 --------- d-----w C:\Programme\Skype
2007-10-09 18:04 --------- d-----w C:\Programme\Windows Media Connect
2007-10-09 17:46 --------- d-----w C:\Programme\Google
2007-10-09 16:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-09 14:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-09 08:43 --------- d-----w C:\Programme\Musicmatch
2007-10-09 08:22 --------- d-----w C:\Programme\OfficeUpdate11
2007-10-09 08:22 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2007-10-09 08:22 --------- d-----w C:\Programme\DivX
2007-10-09 08:22 --------- d-----w C:\Programme\CyberLink
2007-10-09 08:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2005-02-25 17:35:29 8 --sha-r C:\WINDOWS\system32\EBD0FB56AE.sys
2005-02-25 17:35:29 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{07B0BE72-275B-4BAD-A7E8-AF5A097B7CCD}]
2004-08-04 14:00 107582 --a------ C:\WINDOWS\system32\consol.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-22 23:40]
"kav"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"CloneCDTray"="D:\Copyshop\CD Copy\CloneCD\CloneCDTray.exe" [2002-12-02 16:17]
"CloneCDElbyCDFL"="D:\Copyshop\CD Copy\CloneCD\ElbyCheck.exe" [2002-11-02 08:33]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 C:\WINDOWS\system32\bthprops.cpl]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2005-08-29 19:09]
"iTunesHelper"="D:\Downloads und Treiber\iTunes\iTunesHelper.exe" [2007-09-26 14:42]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"w810MmHk"="C:\Programme\Arima\LED Display Utility\w810MmHk.exe" [2005-02-18 17:59]
"VX3000"="C:\WINDOWS\vVX3000.exe" [2007-04-10 23:46]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 15:44]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 15:43]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 15:53 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 21:24]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-03-05 01:27]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 19:19]
"Omnipage"="D:\Copyshop\OmniPage\opware32.exe" [2002-02-20 20:01]
"nwiz"="nwiz.exe" [2004-12-22 23:40 C:\WINDOWS\system32\nwiz.exe]
"LifeCam"="C:\Programme\Microsoft LifeCam\LifeExp.exe" [2007-05-17 23:45]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-02-23 17:00]
"High Definition Audio Property Page Shortcut"="HDAudPropShortcut.exe" [2004-08-12 18:45 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10]
"Corel Reminder"="" []
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 16:38 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 20:05]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
D:\Downloads und Treiber\Trojanerschutz\spywarefighter\spftray.exe

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys
R0 hvpmtopm;hvpmtopm;C:\WINDOWS\system32\drivers\rtnmsxlh.dat
R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\system32\drivers\SSHDRV84.sys
S1 hwinterface;hwinterface;C:\WINDOWS\system32\Drivers\hwinterface.sys
S1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];\??\C:\WINDOWS\system32\drivers\SLEE13.sys
S2 MSCamSvc;MSCamSvc;"C:\Programme\Microsoft LifeCam\MSCamS32.exe"
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys
S3 LVHybrid;LVHybrid service;C:\WINDOWS\system32\DRIVERS\LVHybrid.sys
S3 Slazldrv;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\SLDRV\slazldrv.sys
S3 uxddrv;Dynamically loaded UxdDrv;\??\g:\Diagnose\Wstpro\uxddrv.sys
S3 VX3000;VX-3000;C:\WINDOWS\system32\DRIVERS\VX3000.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{659e4d6e-7680-11dc-af94-000e35e0b123}]
AutoRun\command - J:\starter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5cb2279-8704-11d9-b46f-000e35af0cbc}]
AutoRun\command - H:\OEMBranding.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-10-19 07:18:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2007-11-04 18:12:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-04 18:12:52
C:\ComboFix2.txt ... 2007-11-04 18:06
.
--- E O F ---

Ich hoffe, dass ihr mir helfen könnte, denn ich bin mit meinem Rat echt am Ende.....

In voller Hoffnung,
saber2007

**Sunny** · 05.11.2007, 18:07

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Desweiteren öffne folgende Datei mit dem Editor, kopiere den gesamten Text ab und setze ihn in deinen Beitrag hier ein:

Code:

ATTFilter


c:\windows\system32\drivers\etc\hosts

saber2007 · 05.11.2007, 21:23

Hallo,

danke für die schnelle Antwort!!

Ich habe den PC im abgesicherten Modus hochgefahren. Hoffe das ist okay gewesen. Hier folgen nun alle gewünschten Logs. Bei dem 30 Tage Log habe ich bei einem etwas mehr an Tagen hinzugenommen.

---------------------------------
SILENT RUNNERS Log Files:
---------------------------------

"Silent Runners.vbs", revision 52, h**p://w*w.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9" ["Adobe Systems Incorporated"]
"OM_Monitor" = "C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" ["OLYMPUS IMAGING CORP."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"kav" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]
"CloneCDTray" = ""D:\Copyshop\CD Copy\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"]
"CloneCDElbyCDFL" = ""D:\Copyshop\CD Copy\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"iTunesHelper" = ""D:\Downloads und Treiber\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"w810MmHk" = ""C:\Programme\Arima\LED Display Utility\w810MmHk.exe"" ["Dritek System Inc."]
"VX3000" = "C:\WINDOWS\vVX3000.exe" [MS]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"RemoteControl" = ""C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"PCMService" = ""C:\Programme\Home Cinema\PowerCinema\PCMService.exe"" ["CyberLink Corp."]
"OM_Monitor" = "C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" ["OLYMPUS IMAGING CORP."]
"Omnipage" = "D:\Copyshop\OmniPage\opware32.exe" ["ScanSoft, Inc"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"LifeCam" = ""C:\Programme\Microsoft LifeCam\LifeExp.exe"" [MS]
"InstantOn" = "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c" [null data]
"High Definition Audio Property Page Shortcut" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"Corel Reminder" = "(empty string)" [file not found]
"AlcWzrd" = "ALCWZRD.EXE" ["RealTek Semicoductor Corp."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{07B0BE72-275B-4BAD-A7E8-AF5A097B7CCD}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\consol.dll" [null data]
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}\(Default) = "Canon Easy Web Print Helper"
-> {HKLM...CLSID} = "EWPBrowseObject Class"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll" [null data]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Bluetooth-Umgebung"
\InProcServer32\(Default) = "C:\WINDOWS\system32\btneighborhood.dll" ["Broadcom Corporation."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "D:\Office\Office\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "D:\Office\Office\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Office\Office\OFFICE11\msohev.dll" [MS]
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
-> {HKLM...CLSID} = "ImageExtractorShellExt Class"
\InProcServer32\(Default) = "D:\Office\Visio\Visio11\VISSHE.DLL" [null data]
"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"
-> {HKLM...CLSID} = "CInfoTipShellExt Class"
\InProcServer32\(Default) = "D:\Office\Visio\Visio11\VISSHE.DLL" [null data]
"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente"
-> {HKLM...CLSID} = "CorelDRAW Shell-Erweiterungskomponente"
\InProcServer32\(Default) = "D:\Fotolabor\Corel\Draw\CdrViewer\CrlShell100.dll" [null data]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Web-Anti-Virus"
-> {HKLM...CLSID} = "Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
-> {HKLM...CLSID} = "CloneCD Shell Extension"
\InProcServer32\(Default) = "D:\Copyshop\CD Copy\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "D:\Downloads und Treiber\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
CIB pdf brewer\(Default) = "{9CB3ED0A-1CFA-11D9-9A43-000476F770CC}"
-> {HKLM...CLSID} = "CIBpdfBrContextMenu Class"
\InProcServer32\(Default) = "D:\Office\Pdf Konverter\CIBpdfBrContextMenu.dll" ["CIB software GmbH, München"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {HKLM...CLSID} = "PowerArchiver Shell Extensions"
\InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["eFront Media, Inc."]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll" ["Kaspersky Lab"]
PowerArchiver\(Default) = "{d03d3e68-0c44-3d45-b15f-bcfd8a8b4c7e}"
-> {HKLM...CLSID} = "PowerArchiver Shell Extensions"
\InProcServer32\(Default) = "C:\Programme\PowerArchiver\PASHLEXT.DLL" ["eFront Media, Inc."]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\imslsp.dll ["Zone Labs, LLC"], 01 - 06, 38
C:\WINDOWS\system32\ZoneLabs\vetredir.dll ["Computer Associates International, Inc."], 07 - 09, 37
%SystemRoot%\system32\mswsock.dll [MS], 10 - 13, 16 - 36
%SystemRoot%\system32\rsvpsp.dll [MS], 14 - 15

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

HKLM\Software\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\Office\OneNote\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{C31CA671-C60C-438C-B8C1-955F2AE19F86}\
"ButtonText" = "MedionShop"
"Exec" = "h**p://w*w.medionshop.de/" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Web-Anti-Virus"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm" [null data]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=h**p://w*w.aldi.com
[Strings]: .com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

Missing lines (compared with English-language version):
[Strings]: 1 line

All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

a-squared Free Service, a2free, ""C:\Programme\a-squared Free\a2service.exe"" ["Emsi Software GmbH"]
Adobe LM Service, Adobe LM Service, ""C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe"" [null data]
Anwendungsverwaltung, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
ASP.NET-Statusdienst, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe" [MS]
Bluetooth Service, btwdins, "C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation."]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
CA ISafe, CAISafe, "C:\WINDOWS\system32\ZoneLabs\isafe.exe" ["Computer Associates International, Inc."]
CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe"" [empty string]
CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe"" ["Cyberlink"]
CyberLink Task Scheduler (CTS), CLSched, ""C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe"" [empty string]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\mspmsnsv.dll" [MS]}
Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]
Infrarotüberwachung, Irmon, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\irmon.dll" [file not found]}
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Kaspersky Anti-Virus 6.0, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r" ["Kaspersky Lab"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
MSCamSvc, MSCamSvc, ""C:\Programme\Microsoft LifeCam\MSCamS32.exe"" [MS]
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Office Source Engine, ose, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"" [MS]
SmartLinkService, SLService, "slserv.exe" [" "]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""C:\Programme\Windows Media Player\WMPNetwk.exe"" [MS]
Windows-Benutzermodus-Treiberframework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]
X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" ["Broadcom Corporation."]
Canon BJ Language Monitor iP3300\Driver = "CNMLM84.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

---------- (launch time: 2007-11-06 20:51:21)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 120 seconds.
---------- (total run time: 163 seconds)

saber2007 · 05.11.2007, 21:24

---------------------------------
FILELIST Log Files:
---------------------------------

Verzeichnis von C:\

06.11.07 21:02 805.306.368 pagefile.sys
26.10.07 19:57 15.038 ComboFix.txt
26.10.07 17:12 15.022 ComboFix2.txt
26.10.07 17:06 14.983 ComboFix3.txt
22.10.07 17:02 210 boot.ini
18.10.07 17:04 115.224 img2-001.raw
21.09.07 15:27 15.069 wstpro.txt

Verzeichnis von C:\WINDOWS\system32

06.11.07 20:51 55.120 perfc009.dat
06.11.07 20:51 397.848 perfh007.dat
06.11.07 20:51 386.030 perfh009.dat
06.11.07 20:51 66.358 perfc007.dat
06.11.07 20:51 916.360 PerfStringBackup.INI
06.11.07 20:44 34.257 vsconfig.xml
06.11.07 20:44 17.916 nvapps.xml
06.11.07 20:43 2.206 wpa.dbl
26.10.07 17:23 4.212 zllictbl.dat
22.10.07 16:58 773.264 FNTCACHE.DAT
22.10.07 12:50 129.082 TZLog.log
19.10.07 13:43 329 $winnt$.inf
19.10.07 13:37 23.392 nscompat.tlb
19.10.07 13:37 16.832 amcompat.tlb
19.10.07 13:35 488 WindowsLogon.manifest
19.10.07 13:35 488 logonui.exe.manifest
19.10.07 13:35 749 cdplayer.exe.manifest
19.10.07 13:35 749 wuaucpl.cpl.manifest
19.10.07 13:35 749 sapi.cpl.manifest
19.10.07 13:35 749 nwc.cpl.manifest
19.10.07 13:35 749 ncpa.cpl.manifest
19.10.07 13:34 23.604 emptyregdb.dat
19.10.07 13:33 525 mapisvc.inf
09.10.07 19:04 902 InstallUtil.InstallLog
27.09.07 21:19 18.089.592 MRT.exe
21.09.07 17:07 333 $ncsp$.inf
22.08.07 14:13 664.576 wininet.dll
22.08.07 14:13 474.624 shlwapi.dll
22.08.07 14:13 617.472 urlmon.dll
22.08.07 14:13 1.494.528 shdocvw.dll
22.08.07 14:13 39.424 pngfilt.dll
22.08.07 14:13 3.079.168 mshtml.dll
22.08.07 14:13 449.024 mshtmled.dll
22.08.07 14:13 146.432 msrating.dll
22.08.07 14:13 532.480 mstime.dll
22.08.07 14:13 55.808 extmgr.dll
22.08.07 14:13 96.768 inseng.dll
22.08.07 14:13 16.384 jsproxy.dll
22.08.07 14:13 205.312 dxtrans.dll
22.08.07 14:13 251.392 iepeers.dll
22.08.07 14:13 1.056.256 danim.dll
22.08.07 14:13 152.064 cdfview.dll
22.08.07 14:13 1.022.976 browseui.dll
22.08.07 14:13 357.888 dxtmsft.dll

Verzeichnis von C:\WINDOWS\Prefetch

06.11.07 20:45 19.638 LOGONUI.EXE-0AF22957.pf
06.11.07 20:45 93.766 WMIPRVSE.EXE-28F301A9.pf
06.11.07 20:45 37.062 WUAUCLT.EXE-399A8E72.pf
06.11.07 20:45 77.772 ALG.EXE-0F138680.pf
06.11.07 20:45 11.190 WSCNTFY.EXE-1B24F5EB.pf
06.11.07 20:45 32.774 IPODSERVICE.EXE-233792DA.pf
06.11.07 20:45 60.308 X10NETS.EXE-199F9ADE.pf
06.11.07 20:45 73.706 IMAPI.EXE-0BF740A4.pf
06.11.07 20:45 27.250 MANTISPM.EXE-0BA234B4.pf
06.11.07 20:45 965.406 NTOSBOOT-B00DFAAD.pf
26.10.07 20:12 275.568 Layout.ini
26.10.07 19:58 9.954 NIRCMD.EXE-2C39EF53.pf
26.10.07 19:58 14.638 REGEDIT.EXE-1B606482.pf
26.10.07 19:58 19.168 NOTEPAD.EXE-336351A9.pf
26.10.07 19:57 13.526 CMD.EXE-087B4001.pf
26.10.07 19:57 12.930 SWREG.CFEXE-2BF4FFCD.pf
26.10.07 19:57 5.088 MTEE.CFEXE-1E067BC7.pf
26.10.07 19:57 4.098 SED.CFEXE-268D7E58.pf
26.10.07 19:57 24.610 NIRCMD.CFEXE-19FF4781.pf
26.10.07 19:52 25.644 CATCHME.CFEXE-0F2A0789.pf
26.10.07 19:52 19.526 FINDSTR.EXE-0CA6274B.pf
26.10.07 19:52 9.964 GREP.CFEXE-20443039.pf
26.10.07 19:50 40.012 DUMPHIVE.CFEXE-2ED3B134.pf
26.10.07 19:50 4.460 VFIND.CFEXE-2033727F.pf
26.10.07 19:50 11.774 SORT.EXE-194AE83C.pf
26.10.07 19:50 59.010 CSCRIPT.EXE-1C26180C.pf
26.10.07 19:46 22.792 VERCLSID.EXE-3667BD89.pf
26.10.07 19:46 59.462 EXPLORER.EXE-082F38A9.pf
26.10.07 19:44 12.204 FIND.EXE-0EC32F1E.pf
26.10.07 19:44 12.422 REGT.CFEXE-15DB5DAE.pf
26.10.07 19:44 14.548 REG.EXE-0D2A95F7.pf
26.10.07 19:43 7.110 SWXCACLS.CFEXE-365F7973.pf
26.10.07 19:43 7.534 SWSC.CFEXE-3B4FE4FE.pf
26.10.07 19:43 5.142 HANDLE.CFEXE-13427ED2.pf
26.10.07 19:06 12.236 ATTRIB.EXE-39EAFB02.pf
26.10.07 19:06 4.248 SF.CFEXE-164B3B2D.pf
26.10.07 19:03 8.932 NIRCMD.EXE-1F7FED22.pf
26.10.07 18:38 122.382 IEXPLORE.EXE-2CA9778D.pf
26.10.07 14:36 74.700 A2FREE.EXE-0775134C.pf
26.10.07 09:03 43.816 CTFMON.EXE-0E17969B.pf
26.10.07 09:03 14.270 ALCWZRD.EXE-17389FC3.pf
26.10.07 09:03 9.996 SYNTPLPR.EXE-0AB61C3B.pf

Verzeichnis von C:\WINDOWS

06.11.07 21:03 447.524 ntbtlog.txt
06.11.07 21:02 0 0.log
06.11.07 21:02 2.048 bootstat.dat
06.11.07 21:01 26.757 WindowsUpdate.log
06.11.07 21:00 1.135 setupapi.log
06.11.07 20:46 558 SchedLgU.Txt
06.11.07 20:46 50 wiaservc.log
06.11.07 20:46 216 wiadebug.log
06.11.07 20:44 4.106 ModemLog_Smart Link 56K Voice Modem.txt
06.11.07 20:44 54.156 QTFont.qfn
26.10.07 17:22 0 Sti_Trace.log
22.10.07 17:02 614 win.ini
22.10.07 17:02 264 System.ini
20.10.07 05:03 136.192 catchme.exe
19.10.07 13:37 316.640 WMSysPr9.prx
19.10.07 13:36 4.161 ODBCINST.INI
19.10.07 13:35 749 WindowsShell.Manifest
19.10.07 12:44 23.390 setupapi.old
19.10.07 11:33 1.034.461 setupapi.log.0.old
19.10.07 10:36 69 NeroDigital.ini
18.10.07 09:54 1.409 QTFont.for
09.10.07 13:39 461 MAXLINK.INI
09.10.07 10:30 400 ODBC.INI
09.10.07 10:24 63 vbaddin.ini
09.10.07 09:49 32 CD_Start.INI
09.10.07 09:14 2 msoffice.ini

Verzeichnis von C:\WINDOWS\tasks

06.11.07 20:46 6 SA.DAT
19.10.07 08:18 276 AppleSoftwareUpdate.job

Verzeichnis von C:\WINDOWS\temp

06.11.07 20:44 0 T30DebugLogFile.txt
06.11.07 20:43 16.384 ~DF1BED.tmp
26.10.07 17:22 16.384 ~DF18DD.tmp

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

06.11.07 21:04 110.456 filelist.txt
06.11.07 21:04 83 parcce.dat
06.11.07 20:44 16.384 ~DFBFDF.tmp
26.10.07 17:23 16.384 ~DF57BA.tmp

------------------------------
HOSTS-Datei
------------------------------

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

So das wars.

Grüße
saber2007

saber2007 · 12.11.2007, 19:11

Hallo,

mag hier vielleicht noch jemand draufschauen? Fehlt noch etwas, um das Problem zu lösen?

Hilfe wäre echt super!

Ciao und Danke!

saber2007 · 02.12.2007, 20:14

Hallo,

ich habe mich nicht getraut, selber Hand an das System zu legen. Denke, dass ihr hier deutlich mehr Ahnung habt und mir besser helfen könnt.

Vielleicht findet noch jemand Zeit, mal in meine Logs reinzuschauen?

Ich würde mich wirklich freuen. Danke!!

Grüße
saber2007

nochdigger · 03.12.2007, 16:41

Hallo

Erstelle mal einen Ordner z.B. C:\Boese\ und dann starte deinen Rechner mal in den abgesicherten Modus (beim start F8 drücken), nun verschiebe die Datei :
C:\WINDOWS\system32\consol.dll ind den von dir erstellten Ordner.
Starte dein System neu in den normalen Modus und schau ob das Problem weiterhin besteht.

Sunny wollte gern noch den Inhalt der Hostdatei sehen

Zitat:

Zitat von Sunny

Desweiteren öffne folgende Datei mit dem Editor, kopiere den gesamten Text ab und setze ihn in deinen Beitrag hier ein:

Code:

ATTFilter

c:\windows\system32\drivers\etc\hosts

MFG

saber2007 · 04.12.2007, 19:11

Hallo,

den Inhalt der Host-Datei habe ich im vorherigen Post niedergeschrieben. Da steht nur der 127.0.0.1 localhost drinne.

Zu deinem Vorschlag:
Leider klappt das nicht. "Zugriff wurde verweigert" Hatte auch schon mal versucht diese Datei zu löschen, aber eben wegen der Zugriffsverletzung geht es nicht. :-( Ach ja, ich bin als Admin eingeloggt

Grüße
saber2007

nochdigger · 04.12.2007, 20:25

Hallo

versuch es mal mit Unlocker
WinTotal - Software - Unlocker
kill den Prozess und dann wie schon beschrieben

Zitat:

Erstelle mal einen Ordner z.B. C:\Boese\ ...

verschiebe die Datei :
C:\WINDOWS\system32\consol.dll ind den von dir erstellten Ordner.

Starte dein System neu ... und schau ob das Problem weiterhin besteht.

versuch es mal so

MFG

saber2007 · 05.12.2007, 21:42

Hallo,

Unlocker sagt, dass kein Freigabehandler gefunden wurde, obwohl ich als Admin angemeldet bin. Habe verschieben und löschen versucht, und das Programm sagt mir, dass es dies bei einem Neustart versuchen kann, was aber leider auch schief ging.

Was meinst du mit "kill den Prozess"?
Es ist keiner verfügbar, den ich mit dem Trojaner in Verbindung bringen würde. Auch nicht im abgesicherten Modus.

Ciaoi
saber2007

nochdigger · 06.12.2007, 06:20

Hallo

Vergiss meinen letzten Beitrag am besten.

Lade dir mal dieses Programm von hier --> http://download.bleepingcomputer.com...r/OTMoveIt.exe

* Starte OTMoveIt.exe mit einem doppelklick.
* Kopiere alle Dateien aus dieser Box (markiere alle Dateien dann drücke STRG C):

Code:

ATTFilter

C:\WINDOWS\system32\consol.dll

* Im Programm OTMoveIt, mach einen rechtsklick in das Fenster unter "Paste List of Files/Folders to be moved" und wähle 'Einfügen'.
* Klick auf den roten Moveit! button.
* Kopiere nun alles aus dem Results Fenster ab und füge den Inhalt in deinen Beitrag ein (STRG V).
* Beende OTMoveIt

Kontrolliere bitte nach einem Neustart ob die Datei noch im System32 Ordner vorhanden ist.

MFG

saber2007 · 06.12.2007, 19:32

Hallo,

die Datei ist selbst nach dem Neustart leider immer noch vorhanden

Und hier die Antwort von dem Tool:
-----------------
DllUnregisterServer procedure not found in C:\WINDOWS\system32\consol.dll
C:\WINDOWS\system32\consol.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\consol.dll scheduled to be moved on reboot.

Created on 12.07.2007 19:26:17"
-----------------

Grüße
saber2007

PS: Von Freitag bis Sonntag-Nacht bin ich ohne Internetzugang, so dass ich dann erst spätestens am Montag ins Forum schauen kann. Nur, damit ihr euch nicht wundert.

nochdigger · 06.12.2007, 19:49

Hallo

versuchen wir es mit der Killbox

Anleitung Killbox:

Lade dir folgendes Tool herunter -> KILLBOX
-Starte dann das Programm
-klick auf die Option -> "delete on reboot"
-kopiere diesen Text unter -> "Full Path of File to delete"

Zitat:

C:\WINDOWS\system32\consol.dll

Nun auf das rote "x" klicken und das System neustarten lassen

MFG

saber2007 · 06.12.2007, 20:33

Hey,

also Killbox geht noch weniger... Nachdem ich das rote Kreuz drücke kommt zuerst ein Fenster, das einem ermöglicht das Herunterfahren abzubrechen. Da lasse ich den Timer durchlaufen und dann kommt eine Fehlermeldung:

Grüße

nochdigger · 07.12.2007, 13:57

Hallo

hab ich vergessen

dir zu schreiben, dass der Teatimer deaktiviert werden muss, jaaaa

Zitat:

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

versuch es jetzt nochmal mit den Tools.
Wenn keins will versuch es hiermit
AmoK - The Art of Coding (Official Website) | Download Freeware here...

MFG

Problem mit Google und search-daily.com Trojaner.

Plagegeister aller Art und deren Bekämpfung: Problem mit Google und search-daily.com Trojaner.