Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ladefehler in Modul windows/system32/xdfyyeof.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.11.2007, 11:20   #1
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hallo Trojaner Board!
Mein Avira Antivir hat den Trojaner TR/Vundo.Gen gemeldet in der Datei Windows/system32/sstrp.dll . Nach Recherche hier habe ich das Programm Vundo.exe laufen lassen. Dieser hat eine Datei gefunden die ich problem entfernen konnte. Nun meldet mir mein Rechner beim Starten das die Datei windows/system32/xdfyyeof.dll Rundll nicht gestartet werden kann.

Wer kann mir helfen???

Grüße Giesskanne

Alt 26.11.2007, 11:36   #2
Chris4You
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi,

bitte HJ-Log abarbeiten (siehe Signatur)... und posten...
(Es müsste mit dem Teufel zu gehen, wenn die alleine wäre...),
zusätzlich noch datfind posten:

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
Datfindbat

Chris
__________________

__________________

Alt 26.11.2007, 12:02   #3
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hallo Chris!

Ich muss mich erstmal für meine Unwissenheit entschuldigen. Hatte noch nie Probleme mit sowas und kenn mich nicht so sehr gut aus.
Mein System Windows XP. Ich arbeite mich bereits in die Themen ein!

Folgendes hat der HJ Ausgegeben:

Logfile of HijackThis v1.99.1
Scan saved at 11:39:51, on 26.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AdvancedCleaner Free\UADCcw.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {787F5E00-BD7E-4968-B6B1-91A16EA74FDE} - C:\WINDOWS\System32\sstrp.dll (file missing)
O2 - BHO: (no name) - {78F60DC2-6480-4FF8-94E6-5038D46A02AC} - C:\WINDOWS\System32\odbcintd.dll
O2 - BHO: {c9c239f0-3cda-0829-9ed4-14ad88dc1fc8} - {8cf1cd88-da41-4de9-9280-adc30f932c9c} - C:\WINDOWS\System32\lkgdfimy.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [2629165f] rundll32.exe "C:\WINDOWS\System32\xdfyyeof.dll",b
O4 - HKLM\..\Run: [AdvancedCleaner Free] "C:\Programme\AdvancedCleaner Free\UADC.exe" /min
O4 - HKLM\..\Run: [UADCDE_2131784769] "C:\Programme\AdvancedCleaner Free\UADCcw.exe" -c
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - h**p://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\__c00EB69E.dat
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: iifec - C:\WINDOWS\System32\iifec.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe




Die Dafindbat hat folgendes ergeben: (wie gewünscht nur die letzen 3 MOnate)

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.07.2006 15:33 155 DivXPlugin.inf
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
19.12.2003 15:43 241 popcaploader.inf
08.12.2003 13:58 3.759 swflash.inf
09.10.2003 10:32 144 QTPlugin.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
23.06.2003 18:39 65 desktop.ini
7 Datei(en) 6.929 Bytes
0 Verzeichnis(se), 17.062.936.576 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

26.11.2007 11:51 0 sys.txt
26.11.2007 11:51 600 down.txt
26.11.2007 11:50 3.004 tmp.txt
26.11.2007 11:50 12.609 system.txt
26.11.2007 11:50 776 systemtemp.txt
26.11.2007 11:50 96.988 system32.txt
26.11.2007 10:34 780.140.544 pagefile.sys
26.11.2007 10:34 519.622.656 hiberfil.sys
26.11.2007 02:18 812 VundoFix.txt
16.01.2007 22:43 194 BOOT.INI
16.10.2006 13:31 232 sqmdata02.sqm
16.10.2006 13:31 244 sqmnoopt02.sqm
16.10.2006 13:30 244 sqmnoopt01.sqm
16.10.2006 13:30 268 sqmdata01.sqm
14.10.2006 22:23 268 sqmdata00.sqm
14.10.2006 22:23 244 sqmnoopt00.sqm
08.06.2006 19:51 2 BAD
08.12.2004 00:55 34 AUTOEXEC.BAT
29.01.2004 14:26 6 ISACER.ID
08.07.2003 18:31 69 PRELOAD.AAA
23.06.2003 18:50 90 setup.log
23.06.2003 18:40 0 IO.SYS
23.06.2003 18:40 0 MSDOS.SYS
23.06.2003 17:54 512 BOOTSECT.DOS
02.04.2003 12:00 4.952 bootfont.bin
02.04.2003 12:00 235.296 ntldr
02.04.2003 12:00 47.580 NTDETECT.COM
27 Datei(en) 1.300.168.224 Bytes
0 Verzeichnis(se), 17.062.936.576 Bytes frei


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

26.11.2007 02:03 24.576 VundoFixSVC.exe
26.11.2007 01:50 95.151 prtss.ini
25.11.2007 12:37 91.164 prtss.bak2
25.11.2007 12:33 1.158 wpa.dbl
22.11.2007 15:50 19 262904d1
21.11.2007 13:57 191.384 FNTCACHE.DAT
21.11.2007 13:57 708.122 foeyyfdx.ini
25.10.2007 15:29 66.257 prtss.bak1
14.10.2007 17:21 5.686 jupdate-1.6.0_03-b05.log
02.10.2007 20:02 317 onmoq.ini
02.10.2007 20:02 15.276 hilnn.ini
02.10.2007 19:08 693.412 krcctkcd.ini
02.10.2007 19:08 15.496 hilnn.bak2
01.10.2007 12:29 6.480 hilnn.bak1
30.09.2007 21:01 28.819 cefii.ini
30.09.2007 20:29 693.610 rnwmilmm.ini
30.09.2007 18:51 28.401 cefii.bak2
30.09.2007 18:50 414 pvptarju.ini
28.09.2007 20:08 693.481 jwnmcgnj.ini
28.09.2007 19:07 294 auycwecn.tmp
25.09.2007 20:22 6.440 cefii.bak1
25.09.2007 20:21 317 poppo.ini
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
18.09.2007 19:18 317 uxbeg.ini
17.09.2007 19:53 23.552 ddcbyvt.dll

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

26.11.2007 10:34 4.236 ModemLog_Agere Systems AC'97 Modem.txt
26.11.2007 10:34 159 wiadebug.log
26.11.2007 10:34 0 0.log
26.11.2007 10:34 2.048 bootstat.dat
26.11.2007 03:04 50 wiaservc.log
26.11.2007 03:04 32.618 SchedLgU.Txt
26.11.2007 03:03 1.492.438 WindowsUpdate.log
25.11.2007 23:35 531.980 setupapi.log
30.09.2007 20:29 98 cookies.ini
16.08.2007 11:35 197 wmsetup.log

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

26.11.2007 11:39 16.384 ~DFD3F1.tmp
26.11.2007 10:41 865 jusched.log
26.11.2007 10:36 49.152 ~DF6014.tmp
26.11.2007 03:03 49.152 ~DFD048.tmp
26.11.2007 02:21 49.152 ~DFB68A.tmp
26.11.2007 01:52 49.152 ~DF7920.tmp
26.11.2007 01:52 32.768 ~DF6D50.tmp
26.11.2007 01:50 49.152 ~DF4B8C.tmp
25.11.2007 23:04 49.152 ~DFB2EC.tmp
25.11.2007 22:19 1.456 logfile.txt
25.11.2007 20:29 49.152 ~DF2C59.tmp
11 Datei(en) 395.537 Bytes
0 Verzeichnis(se), 17.062.936.576 Bytes frei


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\Temp

26.11.2007 10:34 256 ZLT032f9.TMP
26.11.2007 01:51 256 ZLT0229f.TMP
17.09.2007 18:07 256 ZLT00298.TMP
07.09.2007 13:47 0 Upd1C.tmp
05.09.2007 20:05 0 Upd28.tmp
05.09.2007 17:46 0 Upd1B.tmp
02.09.2007 17:53 0 Upd17.tmp
02.09.2007 17:53 0 Upd1A.tmp
28.08.2007 20:05 0 Upd16.tmp


Ich hoffe das wars. Kenn mich leider nicht so gut damit aus! Ich sehe in diesen Zeichen und Zahlen nichts. Das kommt davon wenn der Rechner sonst immer einwandfrei läuft und dann zum ersten mal ein Problem auftritt...Entschuldige bitte noch einmal meine Unwissenheit!

Was ich bis her gemacht habe:
Ich habe Vundo.exe laufen lassen. Nach Fund von Vundo.exe habe ich neu gestartet, neu gescannt und keinen weiteren Fund mehr gehabt. Heute starte ich den Rechner neu und mir wird das oben genannte Modul als nicht startbar gemeldet. Weiter recherchiert und leider nicht mehr weitergekommen.

Was soll ich tun?
Vielen Dank für deine Mühe!

Jean
__________________

Alt 26.11.2007, 13:46   #4
Chris4You
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi,

online scannen lassen:
C:\WINDOWS\System32\__c00EB69E.dat
C:\WINDOWS\System32\ddcbyvt.dll
C:\WINDOWS\System32\odbcintd.dll
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Poste das Ergebnis mit Filenamen!

Dein IE ist veraltet!


Also:
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|2629165f

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifec


Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\System32\__c00EB69E.dat
C:\WINDOWS\System32\ddcbyvt.dll
C:\WINDOWS\System32\xdfyyeof.dll
C:\WINDOWS\System32\lkgdfimy.dll
C:\WINDOWS\System32\sstrp.dll
C:\WINDOWS\System32\iifec.dll
C:\WINDOWS\System32\foeyyfdx.ini
C:\WINDOWS\System32\cefii.bak1
C:\WINDOWS\System32\auycwecn.tmp
C:\WINDOWS\System32\jwnmcgnj.ini
C:\WINDOWS\System32\pvptarju.ini
C:\WINDOWS\System32\cefii.bak2
C:\WINDOWS\System32\rnwmilmm.ini
C:\WINDOWS\System32\cefii.ini
C:\WINDOWS\System32\hilnn.bak1
C:\WINDOWS\System32\hilnn.bak2
C:\WINDOWS\System32\krcctkcd.ini
C:\WINDOWS\System32\hilnn.ini
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge (siehe unten) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Zitat:
O2 - BHO: {c9c239f0-3cda-0829-9ed4-14ad88dc1fc8} - {8cf1cd88-da41-4de9-9280-adc30f932c9c} - C:\WINDOWS\System32\lkgdfimy.dll (file missing)
O2 - BHO: (no name) - {787F5E00-BD7E-4968-B6B1-91A16EA74FDE} - C:\WINDOWS\System32\sstrp.dll (file missing)
O20 - Winlogon Notify: iifec - C:\WINDOWS\System32\iifec.dll (file missing)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - h**p://download.abetterinternet.com/download/cabs/FON14006/thin.cab
Bitte scanne noch mit Dr. Web und poste das Ergebnis!
Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.11.2007, 20:40   #5
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hallo mein Retter:

Habe den e-scan durchlaufen lassen. Zum ersten Mal mache ich sowas und versuche mein möglichstes um Deinen Anweisungen zu folgen. Benötíge aber Zeit um alles zu verstehen und umzusetzen. Bin alleine und Anfänger! Sorry!!!

1) Bei E-scan im abgesicherten Modus ging bis zur aktualisierung alles problemlos. Bei Aktualisieren sagt er mir, dass das Download nicht abgeschlossen werden konnte. Habe trotzdem weiter gemacht. Hier das Ergebnis:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen.
System found infected with vx2 Spyware/Adware ({30000273-8230-4dd4-be4f-6889d1e74167})! Action taken: Keine Aktion vorgenommen.
System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\System32\odbcintd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\odbcintd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\ikchgtax.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\ejkffjxx.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\odbcintd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ikchgtax.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ejkffjxx.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Leder\Lokale Einstellungen\temp\uadcde_0001_d06m2509\installer.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Leder\Anwendungsdaten\hbtools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\hbtools !!!
Offending Key found: HKCU\Software\hotbar !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = C:\WINDOWS\System32\iifec.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iifec). Deleting Registry Key iifec...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\GALLERY2\PROGRAMS\cgafnt50.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 95840
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 72
Dauer des Scans bisher: 00:52:21
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:13:48,31
Batchende: 14:13:52,99


Ich besitze diesen Rechner seit 4 Jahren und hatte noch nie Probleme daher bin ich in dem Gebiet völliger Anfänger!

3) Nach dem normal Start wieder in Windows gingen sofort nach Start folgende Felder auf:

4) Microssoftfenster: Programm beenden
ADCcw hat Probleme beendet zu werden. Bericht an MS senden ? Ja / Nein. Hab nicht gesendet...(?)

5) nächstes Fenster: RUNDLL Fehler beim Laden des Moduls c:\windows\systems32\xdfyyeof.dll

6) Zone Alarm fragt nach Zugangsberechtigung von Igfx Tray Module und hkcmd Module. Ich glaube aber dass das mein DSL ZUgang über W-Lan bei Fritz Box ist. Bin mir aber nicht ganz sicher!


7) Ergebnis der Online Diagnose:
Virus Total für File: C:\WINDOWS\System32\__c00EB69E.dat

0 bytes size received / Se ha recibido un archivo vacio

Die Datei kann nicht gefunden werden. Weder Manuell noch per Einfügen / suchen.



Virus Total für Filename: C:\WINDOWS\System32\ddcbyvt.dll
File has already been analysed:
MD5: dfe8831780961bd1dc2508a4773144be
Date: 2007.11.24 13:58:11 (CET) [>2D]
Results: 24/32
Permalink: resultado.html?5d9b6426aecf1c282d809ba89ba0d9db


Virus Total für Filename: C:\WINDOWS\System32\odbcintd.dll
File has already been analysed:
MD5: 4a8053e2367e58bccacbd8307ef8b920
Date: 2007.11.26 15:18:24 (CET) [<1D]
Results: 24/32
Permalink: resultado.html?c1c376a460e9b8e6d4b9d47eabfa55da

Mit IE werde ich mich schlau machen und werde versuchen deine Hilfe umzusetzen.

Sobald ich weiter bin melde ich mich sofort.

Vielen Dank schon mal für Deine Mühe!!!!!

Gruß von der anderen Seite der Leitung


Alt 26.11.2007, 21:43   #6
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



So, ich hoffe ich hab alles richtig gemacht:

Avenger: runtergeladen, entzipt, Antivir-Arlarm: Fund C:\Programme\Avenger\avenger.exe enthält als Erkennungsmuster SPR/Avenger- Programmes-- Ignorieren weil sonst nixhts weiter gegangen wäre..

Avenger nach deinen Angaben bearbeitet (Markiert + Kopiert + einfügen)

Nach Neustart AntivirAlarm: Fund C:\...\ADCFreeInstaller_de[1].exe hat das Erkennungsmuster SPR/Dldr.ADCInsta.A Programmes

Microssoftfenster: ADCcw hat Probleme muss beendet werden-- Nicht senden

Hijackthis nach angegeben Angaben bearbeitet...
Eine Datei war verändert:

O20-Winlogon Notify: igfxcu-C:\WINDOWS\SYSTEM32\igfxsrvc.dll

anstatt

020 - Winlogon Notify: ifec - C:\WINDOWS\Systems32\iifec.dll(file missing)

hab es mit angehakt aus Unwissenheit. Da kommt mir dann der Zweifel zu dem Gedanken an meinen DSL-Zugang, da dieses igfxsrvc... modul wurde von Zone Alarm abgefragt.....??

Nach Neustart kam folgende Angaben:

AntivirAlarm: Fund C:\...\ADCFreeInstaller_de[1].exe hat das Erkennungsmuster SPR/Dldr.ADCInsta.A Programmes

Microssoftfenster: ADCcw hat Probleme und wird beendet--nicht senden

Es sind immerhin schon nicht mehr alle 2 sekunden ein Antivir Alarm von Trojaner fund...

Ich wollte meinen Rechner danach mit dem Dr. Web scannen aber weder auf deinem angegeben Link noch über den anderen Link kann ich das Download durchführen. Ich lande auf diesem Link: f*p://f*p.drweb.com/pub/drweb/cureit/cureit.exe
Server kann nicht gefunden werden...

Also bin ich nach dem Avenger und HijackThis stehen geblieben von Deinen Aufgaben.
Was darf ich als nächstes tun??

Viele liebe Grüße

Alt 26.11.2007, 21:45   #7
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Entschuldigung, das Protokoll vom Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lwhaoaih

*******************

Script file located at: \??\C:\wbinpont.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\__c00EB69E.dat not found!
Deletion of file C:\WINDOWS\System32\__c00EB69E.dat failed!

Could not process line:
C:\WINDOWS\System32\__c00EB69E.dat
Status: 0xc0000034

File C:\WINDOWS\System32\ddcbyvt.dll deleted successfully.


File C:\WINDOWS\System32\xdfyyeof.dll not found!
Deletion of file C:\WINDOWS\System32\xdfyyeof.dll failed!

Could not process line:
C:\WINDOWS\System32\xdfyyeof.dll
Status: 0xc0000034



File C:\WINDOWS\System32\lkgdfimy.dll not found!
Deletion of file C:\WINDOWS\System32\lkgdfimy.dll failed!

Could not process line:
C:\WINDOWS\System32\lkgdfimy.dll
Status: 0xc0000034



File C:\WINDOWS\System32\sstrp.dll not found!
Deletion of file C:\WINDOWS\System32\sstrp.dll failed!

Could not process line:
C:\WINDOWS\System32\sstrp.dll
Status: 0xc0000034



File C:\WINDOWS\System32\iifec.dll not found!
Deletion of file C:\WINDOWS\System32\iifec.dll failed!

Could not process line:
C:\WINDOWS\System32\iifec.dll
Status: 0xc0000034

File C:\WINDOWS\System32\foeyyfdx.ini deleted successfully.
File C:\WINDOWS\System32\cefii.bak1 deleted successfully.
File C:\WINDOWS\System32\auycwecn.tmp deleted successfully.
File C:\WINDOWS\System32\jwnmcgnj.ini deleted successfully.
File C:\WINDOWS\System32\pvptarju.ini deleted successfully.
File C:\WINDOWS\System32\cefii.bak2 deleted successfully.
File C:\WINDOWS\System32\rnwmilmm.ini deleted successfully.
File C:\WINDOWS\System32\cefii.ini deleted successfully.
File C:\WINDOWS\System32\hilnn.bak1 deleted successfully.
File C:\WINDOWS\System32\hilnn.bak2 deleted successfully.
File C:\WINDOWS\System32\krcctkcd.ini deleted successfully.
File C:\WINDOWS\System32\hilnn.ini deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|2629165f deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifec not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifec failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 26.11.2007, 21:53   #8
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Ich habe noch eine Frage:

Ich habe mir nie dieses Service pack 2 von WIndows runtergeladen, da alle Freunde die dies getan haben, innerhalb kürzester Zeit Probleme mit Viren, etc. hatten....ich erst jetzt nach 4 Jahren....(ok wer weiß wie lange die Viren, Trojaner schon bei mir hausen...)

Um den aktuellen IE zu laden, ist das Service Pack 2 vorgeschrieben. Würdest du mir Raten, als Fachmann, es zu laden?

Danke! und schönen Abend!

Alt 27.11.2007, 07:45   #9
Chris4You
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi,

das Du Dr. Web nicht laden kannst gefällt mir nicht;
Was genau ist die Fehlermeldung?

Probieren wir Prevx aus, der scannt aber nur:
http://www.prevx.com/freescan.asp
Poste das Ergebnis und noch ein Silentrunnerlog:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip


So, die igfxsrvc hätte nicht gelöscht werden dürfen:
Process File: igfxsrvc.exe or igfxsrvc
Process Name: Intel(R) Common User Interface
Gehört zum Grafiktreiber!

Daher HJ-Backup einspielen:
Starte HijackThis, klicke: Do a Systemscan only
Rechts unten klicke Config…. klicke Backups
Und setze die entfernte Daten zurück (Restore), Rechner neustarten!
Danach die richtigen Einträg nochmal fixen!

SP2 ist unbedingt erforderlich, da ein Rechner ohne praktisch offen ist wie ein Scheunentor! Unbedingt einspielen.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.11.2007, 21:43   #10
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi Chris,

beim scann von Prevxc hat ergeben das

BAD: C:\Windows\system32\odbcintd.dll AWARDE.STUD.A

als einzige Datei gemeldet.


Das Protokoll vom Silentrunner:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" [file not found]
"Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"]
"LManager" = "C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" ["Dritek System Inc."]
"LaunchApp" = "Alaunch" ["Acer Inc."]
"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"AdvancedCleaner Free" = ""C:\Programme\AdvancedCleaner Free\UADC.exe" /min" [file not found]
"UADCDE_2131784769" = ""C:\Programme\AdvancedCleaner Free\UADCcw.exe" -c" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{78F60DC2-6480-4FF8-94E6-5038D46A02AC}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\odbcintd.dll" [null data]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
{C451C08A-EC37-45DF-AAAD-18B51AB5E837}\(Default) = (no title provided)
-> {HKLM...CLSID} = "PDFCreator Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "D:\BÜRO\Office\Office\OLKFSTUB.DLL" [MS]
"{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {HKLM...CLSID} = "KodakShellExtension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\KODAK\IFSCore\shellext.dll" ["Eastman Kodak"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}"
-> {HKLM...CLSID} = "TextPad"
\InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Benutzer" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\Benutzer\Startmenü\Programme\Autostart
"FRITZ!DSL Protect" -> shortcut to: "C:\Programme\FRITZ!DSL\FwebProt.exe" ["AVM Berlin"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ZoneAlarm Pro" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zapro.exe" ["Zone Labs Inc."]
"Microsoft Office" -> shortcut to: "D:\Büro\Office\Office\OSA9.EXE -b -l" [MS]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\FRITZ!DSL\sarah.dll ["AVM Berlin"], 01 - 03, 24
%SystemRoot%\system32\mswsock.dll [MS], 04 - 07, 10 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 08 - 09


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}"
-> {HKLM...CLSID} = "PDFCreator Toolbar"
\InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" = "PDFCreator Toolbar"
-> {HKLM...CLSID} = "PDFCreator Toolbar"
\InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQ\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQToolbar\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
Dcfssvc, Dcfssvc, "C:\WINDOWS\system32\drivers\dcfssvc.exe" ["Eastman Kodak Company"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZONELABS\vsmon.exe -service" ["Zone Labs Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


---------- (launch time: 2007-11-27 20:55:29)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 915 seconds, including 5 seconds for message boxes)




und noch mal das HJ-Protokoll nach wiederherstellung, der igfxsrvc.dll datei.

Diese Datei:
O20 - Winlogon Notify: iifec - C:\WINDOWS\System32\iifec.dll (file missing)

ist anscheinden nicht mehr vorhanden...?

Logfile of HijackThis v1.99.1
Scan saved at 21:18:21, on 27.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AdvancedCleaner Free\UADCcw.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {78F60DC2-6480-4FF8-94E6-5038D46A02AC} - C:\WINDOWS\System32\odbcintd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdvancedCleaner Free] "C:\Programme\AdvancedCleaner Free\UADC.exe" /min
O4 - HKLM\..\Run: [UADCDE_2131784769] "C:\Programme\AdvancedCleaner Free\UADCcw.exe" -c
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe



Wenn ich über deinen Link zu Dr. Web geh, geht das erste Fenster auf wo Download steht. Wenn ich drauf klick, dann fängt mein Windowzeichen in der rechten Ecke oben an zu arbeiten.....aber es passiert weiter nichts...sehr lange nichts...dann irgendwann kommt Server nicht gefunden....

Gleiches bei Öffnen im neuen Fenster....mit f*p :/ /f*p. drweb.com/pub /drweb/cureit/cureit.exe


Ich habe beim ersten Starten heute wieder gleiche Fundmeldung von Antivir von dem Avenger und wieder von ADCcw....desweiteren hatte ich IEXPLORER.EXE kann nicht beendet werden.

Danke für deine Mühe!

Alt 28.11.2007, 07:40   #11
Chris4You
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi,

dann löschen wir mal die von Prevx gemeldete Datei:
Killbox
Killbox - Pocket KillBox
oder
WinTotal - Software - KillBox

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\System32\odbcintd.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
PC neustarten

Den entsprechenden Eintrag mit HJ-fixen:
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)
Zitat:
O2 - BHO: (no name) - {78F60DC2-6480-4FF8-94E6-5038D46A02AC} - C:\WINDOWS\System32\odbcintd.dll
Dieses Programm kennst Du und das ist OK (ist mir unbekannt)?
C:\Programme\AdvancedCleaner Free\UADC.exe

Sonst ist auch nichts im Silentrunner-Log zu erkennen...

Machen wir noch einen Rootkitscann...
Gmer:
gmer.zip

Und poste mal die Hosts-Datei (manchmal werden URLs "umgebogen"):
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Habe den Link für Dr. Web ausprobiert, der Download läuft...
Kannst Du sonst Dateien downloaden?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.11.2007, 15:50   #12
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi,

so, die Ergebnisse:

erstmal HJ-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 15:28:23, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe



Dann den gmer. Bericht

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-11-28 15:40:08
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

SSDT \??\C:\WINDOWS\System32\vsdatant.sys ZwConnectPort
SSDT F7EAC874 ZwCreateThread
SSDT F7EAC860 ZwOpenProcess
SSDT F7EAC865 ZwOpenThread
SSDT F7EAC86F ZwTerminateProcess
SSDT F7EAC86A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.13 ----

.text ntoskrnl.exe!_abnormal_termination + 24C 804E28A8 1 Byte [ 65 ]
.text ntoskrnl.exe!_abnormal_termination + 24E 804E28AA 2 Bytes [ EA, F7 ]

---- Devices - GMER 1.0.13 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [B23A6D70] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [B23A6D70] vsdatant.sys
Device \Driver\AFD \Device\Afd IRP_MJ_CREATE [B23A5590] vsdatant.sys
Device \Driver\AFD \Device\Afd IRP_MJ_CLOSE [B23A5590] vsdatant.sys
Device \Driver\AFD \Device\Afd IRP_MJ_DEVICE_CONTROL [B23A5590] vsdatant.sys
Device \Driver\AFD \Device\Afd FastIoDeviceControl [B23A4F70] vsdatant.sys

AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F78095A4] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F780C6BE] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F780CA5A] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F780952C] avgntmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F780952C] avgntmgr.sys

---- EOF - GMER 1.0.13 ----


und das Hosts- protokoll:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost




so, den AdvancedCleaner Free hab ich deinstalliert. Das ist ein Programm welches mir "angeboten" worden ist, bei dem Versuch den Trojaner zuerst alleine zu entfernen. Da mein IE stellenweise andere Seiten geöffnet hat.....

Ich habe übrigends keine Fehlermeldung mehr, und auch kein Fund-Alarm von Antivir! *freu*

Kompliment an dich: du kannst sehr gut und sehr verständlich (auch für Frauen ;-) ) erklären! Rießen Dank dafür!

Gruß

Alt 28.11.2007, 15:58   #13
Giesskanne
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Nachtrag:

Ich habe mir SP2 und IE7 neu geladen und habe gerade nocheinmal versucht Dr. Web zu laden und es hat funktioniert. Habe Dr. Web laufen lassen und es wurde keine Viren gefunden! Lag wahrscheinlich an meinen veralteten Versionen!

Juhu: Rechner läuft auch wieder 1a!

Hast du noch was gefunden?

Wie kann ich danken??!!

Alt 28.11.2007, 17:27   #14
Chris4You
 
Ladefehler in Modul windows/system32/xdfyyeof.dll - Standard

Ladefehler in Modul windows/system32/xdfyyeof.dll



Hi,

das was GMER gefunden hat gehört zu Zonealarm und ist daher OK;

HJ-Log sieht gut aus, wenn Du Avira aggresiv einstelle willst, kannst
Du den Einstellungen hier folgen:
http://www.trojaner-board.de/showthread.php?t=54192

Alle Meldungen dann aber kritisch überdenken und nicht löschen lassen sondern immer in Quarantäne! Die Anzahl der Fehlalarme steigt mit der Heuristik!

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Ladefehler in Modul windows/system32/xdfyyeof.dll
antivir, arten, avira, avira antivir, beim starten, board, datei, entferne, entfernen, gefunde, gemeldet, gestartet, ladefehler, laufe, laufen, modul, problem, programm, rechner, rundll, starte, starten, tr/vundo.gen, troja, trojaner, trojaner board



Ähnliche Themen: Ladefehler in Modul windows/system32/xdfyyeof.dll


  1. Windows 7 64 Bit Trojaner! Problem beim Starten von: wgsdgsdgdsgsd.exe Das angegebene Modul wurde nicht gefunden.
    Log-Analyse und Auswertung - 24.03.2014 (16)
  2. Fehlermeldung beim Start von Windows RunDll Modul nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.03.2014 (17)
  3. Windows 7: Problem beim Starten: C:\ProgramFiles(86x)\HomeTab\TBUpdater.dll Modul nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.09.2013 (3)
  4. Seiten-ladefehler
    Plagegeister aller Art und deren Bekämpfung - 23.06.2013 (1)
  5. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  6. Seiten Ladefehler DRINGEND
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (7)
  7. Youtube Seiten-Ladefehler
    Antiviren-, Firewall- und andere Schutzprogramme - 02.06.2012 (4)
  8. Seiten Ladefehler - ist das ein Trojaner /Virus?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (1)
  9. Seiten-Ladefehler bei einigen Internetseiten
    Plagegeister aller Art und deren Bekämpfung - 12.06.2011 (1)
  10. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  11. Problem beim Staret von C:\Windows\system32\sshnas21.dll Das angegebene Modul wurde nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (11)
  12. Beim Start erscheint: C:\Windows\system32\sshnas21.dll --> Modul fehlt
    Log-Analyse und Auswertung - 23.02.2010 (2)
  13. Seiten-Ladefehler bei Firefox
    Plagegeister aller Art und deren Bekämpfung - 11.08.2009 (8)
  14. Seiten Ladefehler
    Diskussionsforum - 16.07.2009 (2)
  15. Windows will unbekanntes Modul laden
    Log-Analyse und Auswertung - 18.07.2008 (1)
  16. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  17. Windows findet das C:/WINDOWS/System32/NVMCTAY.DLL Modul nicht!
    Mülltonne - 21.09.2006 (1)

Zum Thema Ladefehler in Modul windows/system32/xdfyyeof.dll - Hallo Trojaner Board! Mein Avira Antivir hat den Trojaner TR/Vundo.Gen gemeldet in der Datei Windows/system32/sstrp.dll . Nach Recherche hier habe ich das Programm Vundo.exe laufen lassen. Dieser hat eine Datei - Ladefehler in Modul windows/system32/xdfyyeof.dll...
Archiv
Du betrachtest: Ladefehler in Modul windows/system32/xdfyyeof.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.