Hi erstmal,

ich habe ein ziemlich großes Problem mit meinem PC. Er scheint in den letzten Tagen immer wieder von mehreren Viren heimgesucht zu werden.

Ich kann auf einige Internetseiten nicht zugreifen bzw. der Ladevorgang dauert zu lange oder Suchbegriffe bei Google werden nicht gesucht, auch da dauert der Ladevorgang dann wieder unendlich lange...
Außerdem habe ich das Problem, dass in meiner Taskleiste eine Sicherheitwarnung immer wieder auftaucht und mir sagt meine automatischen Windows Updates wären deaktiviert. Wenn ich nun unter Systemsteuerung auf die automatischen Updates klicke, stelle ich fest, dass alle Felder vergraut sind und ich nichts mehr anklicken kann...über Start-> Ausführen-> regedit habe ich es auch schon versucht, aber es scheint einfach nicht wahrgenommen zu werden...

Es wäre sehr nett, wenn mir einer von Euch helfen könnte...

Hier mein HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:40, on 30.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINXP\VM_STI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINXP\system32\Rundll32.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINXP\system32\wscntfy.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - (no file)
O2 - BHO: (no name) - {2AB0CA27-95E4-437A-8093-FADF3A2FAC42} - (no file)
O2 - BHO: {0b687212-6902-2e89-8b44-31a1c9613a93} - {39a3169c-1a13-44b8-98e2-2096212786b0} - C:\WINXP\system32\clbjfkvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {B7E246FC-7F46-456E-9009-3C49412D85EF} - (no file)
O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINXP\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [BMfb9670e1] Rundll32.exe "C:\WINXP\system32\ptyuwags.dll",s
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: pmnnLFYR - pmnnLFYR.dll (file missing)
O21 - SSODL: gnowmebk - {B154090E-CB84-4715-81AA-5961E9AB1734} - (no file)
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 5812 bytes


Vielen Dank im Voraus,
GlobexDesigner

hi,

Datei Überprüfung
Kannst du >>diese<< Datei(en) vorzugsweise mit Virustotal scannen und wenn das Ergebnis vorliegt, den kleinen Button "filter" drücken, dann das Ergebnis (egal wie es aussieht) kopieren und hier posten.
Alternativ kannst du diese Datei(en) auch bei virscan oder bei jotti scannen lassen:

C:\WINXP\system32\ptyuwags.dll

Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit, inklusive Dateigröße und Name, MD5 und SHA1


arbeite bitte diese anleitung ab:

http://www.trojaner-board.de/30411-a...-von-zlob.html

danach dann das:

Hier die Anweisung für das VundoFix :

• Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.
• Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
• Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
• Wenn es gescannt hat, klicke auf den FixVundo Button.
• Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
• Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
• Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.
• Bitte poste den Inhalt des C:\vundofix.txt und ein neues HijackThis Logfile.

Hinweis: es kann sein, dass das VundoFix die eine oder andere Datei aufzählt, die es nicht entfernen konnte.
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab


lasse Malwarebytes Anti-Malware laufen und poste alle logs in deine nächste antwort.


gruß

schrauber

Hi,

danke für die Antwort schon mal...

für die Datei "C:\WINXP\system32\ptyuwags.dll" hab ich folgendes Ergebnis raus...(bei Virustotal)

File size: 126464 bytes
MD5...: 4bbc8b4521636b6c2faa1d2db8a957bf
SHA1..: 83b585c6b86d94ae3a70b50e8e08afd4fd84dfb9
SHA256: b98d378be8a3fc835f882f6ec8406ccc9e012b354860691bdc0a868db2b07b1d
SHA512: 782bac5612a980b2947fe3c066402163373069db01f046ae4f65abc977ff527a
2bf8db5e6b03c7ab24c91b06cdbf13ebfb98b1eb6870420ed3ccc25be4ebf162
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001141
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8af2 0x8c00 7.25 c23828ca375240924fc184e9abe9b680
.rdata 0xa000 0x10249 0x10400 7.98 91701dea3d6a89f75552694e5893cfbb
.data 0x1b000 0xf65d 0x5a00 7.94 4caeaf492b90733b943e5aaa962653b8

( 2 imports )
> user32.dll: DrawIcon, DestroyIcon, DefDlgProcA, CreateMDIWindowA, CreateIcon, CreateDesktopW, CreateDesktopA, CopyImage, CharUpperBuffA, CharToOemA, CharNextA, BeginPaint, ActivateKeyboardLayout
> kernel32.dll: GetCommandLineA, lstrlenA, lstrcmpiA, UnmapViewOfFile, TlsGetValue, TlsFree, SleepEx, SetLastError, RtlUnwind, RaiseException, OpenFileMappingA, OpenFile, MapViewOfFile, LoadResource, CompareStringA, EnumResourceLanguagesW, EnumResourceTypesA, FindResourceA, GetDateFormatA, GetFileSize, GetModuleHandleA, GetVersionExA

( 0 exports )

Nachdem ich nun die Anleitung für VundoFix abgearbeitet habe, habe ich das Ergebnis, dass keine infizierte Datei gefunden wurde, demnach kann ich auch keine löschen...detaillierter ist das mein Ergebnis...


VundoFix V7.0.5

Scan started at 11:08:29 01.06.2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...

Hier nun das Logfile von Malwarebytes AntiMalware:

Malwarebytes' Anti-Malware 1.14
Datenbank Version: 811

12:28:52 01.06.2008
mbam-log-6-1-2008 (12-28-52).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 148045
Scan Dauer: 1 hour(s), 10 minute(s), 53 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 7
Infizierte Dateien: 11

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06e12c36-760f-4d92-8509-5e5dbf12c423} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3f8febf0-4a50-4420-904c-52b90054223e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a825b3f7-6d09-4e4b-89a3-0dc05c0121fe} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{46633232-ceae-4e9d-a0b7-37dcecbb97c6} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06e12c36-760f-4d92-8509-5e5dbf12c423} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMfb9670e1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gnowmebk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Loader (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Publisher (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Loader\4458 (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Publisher\4458 (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\4458 (Adware.VideoEgg) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Uninstall.exe (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Loader\loader.ver (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Loader\4458\npvideoegg-loader.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\updater.exe (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\updater.ver (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\VideoEggBroker.exe (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\VideoEggBroker.exe.old (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\4458\libcurlve.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~--STING--~\Anwendungsdaten\VideoEgg\Updater\4458\updater.dll (Adware.VideoEgg) -> Quarantined and deleted successfully.
C:\WINXP\system32\ptyuwags.dll (Trojan.Agent) -> Delete on reboot.
C:\WINXP\mdtgkswr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Und last but not least mein neues HijackThis Logfile..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:22, on 01.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINXP\VM_STI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINXP\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: (no name) - {2AB0CA27-95E4-437A-8093-FADF3A2FAC42} - (no file)
O2 - BHO: {0b687212-6902-2e89-8b44-31a1c9613a93} - {39a3169c-1a13-44b8-98e2-2096212786b0} - C:\WINXP\system32\clbjfkvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {B7E246FC-7F46-456E-9009-3C49412D85EF} - (no file)
O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINXP\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: pmnnLFYR - pmnnLFYR.dll (file missing)
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 5575 bytes


Vielen Dank fürs Helfen...
GlobexDesigner

in deinem virustotal-ergebnis fehlen die ganzen ergebnisse der scanner.

wiederhole die prozedur bitte mit dieser datei:

C:\WINXP\system32\clbjfkvc.dll


starte hijackthis,klicke do a system scan only und setze einen haken vor folgende kästchen:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {2AB0CA27-95E4-437A-8093-FADF3A2FAC42} - (no file)
O2 - BHO: (no name) - {B7E246FC-7F46-456E-9009-3C49412D85EF} - (no file)
O2 - BHO: (no name) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: pmnnLFYR - pmnnLFYR.dll (file missing)
         

klicke dann fix checked, starte den rechner neu und zeig mir ein frisches hjt-log.

Zitat:

C:\WINXP\system32\ptyuwags.dll (Trojan.Agent) -> Delete on reboot.

hast du den rechner neu gestartet? wurde die datei gelöscht??


gruß

schrauber

Hi,
kannst Du mir kurz erklären, was Du genau mit Scanner meinst?

MfG

wenn du eine datei bei virustotal hochlädst,kommt nacheinander eine auflistung von scannern,wo die datei durchgejagt wird. avast,avg,antivir,kaspersky usw....

diese auflistung mit den scanergebnissen brauch ich auch, nicht nur die dateigröße usw.

wenn der scan einer datei fertig ist,klicke auf den button filter, dann kannst du das sauber abkopieren