Hab mir was eingefangen...

martinmarn · 15.07.2008, 16:36

Hallo Leute,

hab mir irgendwas ziemlich ungemütliches eingefangen, doch bevor ich formatiere will ichs doch erstma anders versuchen

Also angefangen hat es damit das mit AntiVir diesen für Google unbekannten Trojaner angezeigt hat: TR/Dldr.Hmir.fbw
Der weder zu Löschen ging noch der Zugriff verweigert werden konnte, also
die Warnung kam immer wieder!
Dann hab ich versucht auf meine Partition zuzugreifen um die Datei manuell zu löschen, problem dabei ist das Windows nicht weis wie es die Partition öffnen soll, also ich soll nen Programm auswählen mit der ich die Partition starten will

Also hab ich versucht übern Explorer die Datei zu finden und zu löschen, das ging nur leider war dort keine Datei die dort nicht hingehört.

Als nächstes habe ich SpyBot + AdAware durchlaufen lassen, AntiVir gibt nun ruhe allerdings kann ich immernoch nicht auf die Festplatten zugreifen (Es geht keine außer meine Komprimierte Windowspartition.
Hab danach auch nochma HijackThis durchlaufen lassen, allerdings
nichts gefunden was mich irgendwie beunruhigt, vlt. irgendwas übersehen?

Naja vlt. könnt Ihr mir ja helfen, poste rein sicherheitshalbe nochma den HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:12, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
E:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ6\ICQ.exe
E:\Programme\DNA\btdna.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Winamp\winamp.exe
E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
E:\Dokumente und Einstellungen\habi\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 200.124.131.116 casinocontroller.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSPM Startup] E:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [VOIPlay] "D:\Programme\VOIPlay\voiplay.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - E:\Casino\Europa Casino\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - E:\Casino\Europa Casino\casino.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - E:\Programme\UltimateBet\UltimateBet.exe (file missing)
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - E:\Programme\UltimateBet\UltimateBet.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://fortunelounge.microgaming.com/generic/FlashAX2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Microsoft Local Alerter (mu0yoitpig) - Unknown owner - E:\WINDOWS\system32\typoocyhac.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 10218 bytes

Lieben Dank, Martin

trojan-death · 16.07.2008, 10:33

Hi und

Bitte lass als erstes Malwarebytes laufe, lass alles gefundene löschen und poste das Log.
Dazu bitte auch ein Log mit RunScanner erstellen und ebenfalls posten.
Bitte zum Schluss dann auch noch ein frisches Hijackthis

martinmarn · 16.07.2008, 15:41

Hier der Malwarebytes Log nachdem ich 5 Sachen löschen musste, des andere post ich irgendwann die Nacht

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 958
Windows 5.1.2600 Service Pack 2

16:39:28 16.07.2008
mbam-log-7-16-2008 (16-39-28).txt

Scan Art: Komplett Scan (C:\|D:\|F:\|G:\|)
Objekte gescannt: 269340
Scan Dauer: 54 minute(s), 47 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Downloads #1\browser.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010196.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010202.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010204.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FDE2CB48-BD27-4577-B888-CE59EAD42612}\RP159\A0010205.exe (Adware.Agent) -> Quarantined and deleted successfully.

trojan-death · 16.07.2008, 16:41

Ok

Bitte deaktivere mal deine Systemwiederherstellung, reboote und aktiviere sie wieder

martinmarn · 16.07.2008, 21:14

Runscanner logfile http://www.runscanner.net

* = signed file
- = file not found

000 General info
----------------
Computer name : XDDD-189EE48EDA
Creation time : 16.07.2008 22:11:48
Hosts <> 127.0.0.1 : 1
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : E:\WINDOWS

001 Running processes
---------------------
* e:\programme\lavasoft\ad-aware\aawservice.exe (Lavasoft)
e:\programme\trust\gm-4600 gamer mouse\amoumain.exe
e:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH)
e:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH)
* e:\windows\system32\services.exe (Microsoft Corporation)
* e:\windows\system32\alg.exe (Microsoft Corporation)
e:\programme\bonjour\mdnsresponder.exe (Apple Computer, Inc.)
* e:\windows\system32\csrss.exe (Microsoft Corporation)
* e:\windows\system32\ctfmon.exe (Microsoft Corporation)
* e:\programme\dna\btdna.exe (BitTorrent, Inc.)
* e:\windows\system32\rundll32.exe (Microsoft Corporation)
* e:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
* e:\windows\system32\svchost.exe (Microsoft Corporation)
* e:\windows\system32\svchost.exe (Microsoft Corporation)
* e:\windows\system32\svchost.exe (Microsoft Corporation)
* e:\windows\system32\svchost.exe (Microsoft Corporation)
* e:\windows\system32\svchost.exe (Microsoft Corporation)
* e:\programme\icq6\icq.exe (ICQ, Inc.)
* e:\programme\java\jre1.6.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
* e:\windows\system32\lsass.exe (Microsoft Corporation)
* e:\windows\system32\nvsvc32.exe (NVIDIA Corporation)
* e:\windows\system32\pnkbstra.exe
* e:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
* e:\programme\gemeinsame dateien\protexis\license service\psiservice_2.exe (Protexis Inc.)
e:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.)
* e:\programme\gemeinsame dateien\intervideo\regmgr\iviregmgr.exe (InterVideo)
* e:\dokume~1\habi\lokale~1\temp\rar$ex00.843\runscanner.exe (Runscanner.net)
* e:\windows\system32\spoolsv.exe (Microsoft Corporation)
* e:\progra~1\speedb~1\videoacceleratorengine.exe (Speedbit Ltd.)
* e:\progra~1\speedb~1\videoacceleratorservice.exe (Speedbit Ltd.)
* e:\windows\explorer.exe (Microsoft Corporation)
* e:\windows\system32\winlogon.exe (Microsoft Corporation)
* e:\windows\system32\smss.exe (Microsoft Corporation)
* e:\windows\system32\wscntfy.exe (Microsoft Corporation)
* e:\windows\system32\wuauclt.exe (Microsoft Corporation)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
- e:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
- e:\progra~1\gemein~1\instal~1\update~1\isuspm.exe
* e:\programme\gemeinsame dateien\installshield\updateservice\issch.exe (Macrovision Corporation)
E:\WINDOWS\system32\nwiz.exe
e:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
* e:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
e:\programme\gemeinsame dateien\real\update_ob\realsched.exe (RealNetworks, Inc.)
e:\programme\trust\gm-4600 gamer mouse\amoumain.exe

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
* e:\programme\dna\btdna.exe (BitTorrent, Inc.)
* e:\programme\icq6\icq.exe (ICQ, Inc.)
* e:\programme\octoshape streaming services\habi\octoshapeclient.exe (Octoshape ApS)
d:\programme\voiplay\voiplay.exe (E-Sport Network AB)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
e:\programme\bonjour\mdnsresponder.exe (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##)
e:\programme\avira\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
e:\programme\avira\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
e:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe (FLEXnet Licensing Service)
* e:\programme\gemeinsame dateien\intervideo\regmgr\iviregmgr.exe (IviRegMgr)
* e:\programme\lavasoft\ad-aware\aawservice.exe (Lavasoft Ad-Aware Service)
- e:\windows\system32\typoocyhac.exe (Microsoft Local Alerter)
* e:\programme\gemeinsame dateien\nero\lib\nmindexingservice.exe (NMIndexingService)
* e:\windows\system32\pnkbstra.exe (PnkBstrA)
* e:\programme\gemeinsame dateien\protexis\license service\psiservice_2.exe (Protexis Licensing V2)
* e:\progra~1\speedb~1\videoacceleratorservice.exe (VideoAcceleratorService)
e:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe (Windows CardSpace)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
* e:\windows\system32\drivers\acedrv10.sys (acedrv10)
* e:\windows\system32\drivers\acedrv11.sys (acedrv11)
* e:\windows\system32\drivers\acehlp10.sys (acehlp10)
* e:\programme\avira\antivir personaledition classic\avgio.sys (avgio)
* e:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt)
* E:\WINDOWS\system32\drivers\avipbb.sys (avipbb)
- e:\windows\system32\drivers\changer.sys (Changer)
- e:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
E:\WINDOWS\system32\drivers\iviaspi.sys (IVI ASPI Shell)
- e:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
- e:\windows\system32\drivers\pcidump.sys (PCIDump)
- e:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- e:\windows\system32\drivers\pdframe.sys (PDFRAME)
- e:\windows\system32\drivers\pdreli.sys (PDRELI)
- e:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
* E:\WINDOWS\system32\drivers\regi.sys (regi)
e:\progra~1\speedb~1\sbbotdi.sys (sbbotdi)
* E:\WINDOWS\system32\drivers\s115bus.sys (Sony Ericsson Device 115 driver (WDM))
* E:\WINDOWS\system32\drivers\s115mgmt.sys (Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM))
* E:\WINDOWS\system32\drivers\s115mdm.sys (Sony Ericsson Device 115 USB WMC Modem Driver)
* E:\WINDOWS\system32\drivers\s115mdfl.sys (Sony Ericsson Device 115 USB WMC Modem Filter)
* E:\WINDOWS\system32\drivers\s115obex.sys (Sony Ericsson Device 115 USB WMC OBEX Interface)
E:\WINDOWS\system32\drivers\sptd.sys (sptd)
e:\windows\system32\drivers\sshdrv76.sys (SSHDRV76)
E:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)
E:\WINDOWS\system32\drivers\sfdrv01.sys (StarForce Protection Environment Driver (version 1.x))
E:\WINDOWS\system32\drivers\sfhlp02.sys (StarForce Protection Helper Driver (version 2.x))
E:\WINDOWS\system32\drivers\sfvfs02.sys (StarForce Protection VFS Driver (version 2.x))
E:\WINDOWS\system32\drivers\amusbprt.sys (Trust HID-compliant Mouse Driver)
E:\WINDOWS\system32\drivers\amfilter.sys (Trust Mouse Filter Driver)
- e:\windows\system32\drivers\wdica.sys (WDICA)
- e:\windows\system32\xdva093.sys (XDva093)

041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar
----------------------------------------------------------
e:\programme\veoh networks\veoh\plugins\reg\veohtoolbar.dll (Veoh Networks Inc) {D0943516-5076-4020-A3B5-AEFAF26AB263}

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
- e:\casino\europa casino\casino.exe {4C826F10-D34B-4ba8-B609-1FB8C6482A05}
* e:\programme\icq6\icq.exe (ICQ, Inc.) {E59EB121-F339-4851-A3BA-FE49C35617C2}
e:\programme\partygaming\partypoker\runapp.exe {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}
* e:\programme\pokerstars\pokerstarsupdate.exe (PokerStars) {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}
d:\titan poker\casino.exe {49783ED4-258D-4f9f-BE11-137C18D3E543}
- e:\programme\ultimatebet\ultimatebet.exe {94148DB5-B42D-4915-95DA-2CBB4F7095BF}

043 HKCU\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
e:\dokumente und einstellungen\habi\startmenü\programme\absolute poker\absolute poker.lnk {13C1DBF6-7535-495c-91F6-8C13714ED485}

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
----------------------------------------------------------------------------------
GUID / CLSID not found {7E853D72-626A-48EC-A868-BA8D5E23E045}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
e:\windows\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
e:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
e:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}
e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {087B3AE3-E237-4467-B8DB-5A38AB959AC9}
e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {63542C48-9552-494A-84F7-73AA6A7C99C1}
e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {3B092F0C-7696-40E3-A80F-68D74DA84210}
e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
e:\programme\real\realplayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}
e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
e:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}

063 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
---------------------------------------------------------------------
* E:\WINDOWS\system32\lsdelete.exe

067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
---------------------------------------------------------------------
-

073 %windir%\Tasks
------------------
AppleSoftwareUpdate.job : e:\programme\apple software update\softwareupdate.exe (Apple Computer, Inc.)

100 Internet Explorer settings
------------------------------
Default_Page_URL HKLM : http://www.arcor.de
Default_Search_URL HKLM : http://www.arcor.de
Search Page HKCU : http://www.arcor.de
Search Page HKLM : http://www.arcor.de
Start Page HKCU : http://www.arcor.de
Start Page HKLM : http://www.arcor.de

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
* e:\windows\system32\flashax\flashax.ocx (Microgaming Systems) {D8089245-3211-40F6-819B-9E5E92CD61A2}
* e:\windows\system32\flashax2\flashax2.ocx (Microgaming Systems) {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
Nach Microsoft E&xel exportieren : res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

107 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
---------------------------------------------------------------------------------
e:\programme\bonjour\mdnsnsp.dll (Apple Computer, Inc.)

120 Domain/DNS hijacking
------------------------
NameServer {12ABD7D2-0A77-44E1-97B0-E821F498B2E3} : 195.50.140.252 195.50.140.114

170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
------------------------------------------------------------------------
{093edb2b-51c8-11dd-b678-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bonyhyd.exe
{ae7eaed2-fdca-11dc-8047-0015f2f32af8} : N:\EmDesk.exe
{afe52394-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL kakyd.exe
{afe52396-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quoudytou.exe
{afe52397-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quoudytou.exe
{afe52398-fc01-11dc-9ba8-806d6172696f} : E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL quoudytou.exe

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* e:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* e:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* e:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
e:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
e:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
e:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
e:\programme\openoffice.org 2.4\program\shlxthdl.dll (Sun Microsystems, Inc.) OpenOffice.org Column Handler
e:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

martinmarn · 16.07.2008, 21:18

Und hier das frische hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:46, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ6\ICQ.exe
E:\Programme\DNA\btdna.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
E:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\habi\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 200.124.131.116 casinocontroller.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSScheduler] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [VOIPlay] "D:\Programme\VOIPlay\voiplay.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://fortunelounge.microgaming.com/generic/FlashAX2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 9112 bytes

! Problem besteht weiterehin! =)

trojan-death · 17.07.2008, 13:43

Zitat:

Zitat von martinmarn

! Problem besteht weiterehin! =)

Wir haben auch noch nichts gemacht:aplaus:
Wir analysieren erst deine Logfiles und versuchen alle Malware auf deine System zu finden

Dann gehts weiter mit dem löschen der ganzen Sch*****

Bitte gib mir noch den Pfad dieses Trojaner an TR/Dldr.Hmir.fbw.

Nun lade bitte folgende Dateien bei VirusTotal hoch und poste das Ergebnis

Zitat:

E:\Programme\DNA\btdna.exe
e:\dokumente und einstellungen\habi\startmenü\programme\absolute poker\absolute poker.lnk
e:\programme\winrar\rarext.dll

Fixe mit HijackThis folgende Einträge:

Zitat:

O1 - Hosts: 200.124.131.116 casinocontroller.com
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
Unbekannt
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://fortunelounge.microgaming.com/generic/FlashAX2.cab

Versuche diese Dateien zu finden

Wenn du mit der Suchfunktion nix findest, versuche es mal manuel im Ordner C:\Windows und C:\Windows\System32

Zitat:

quoudytou.exe
kakyd.exe
bonyhyd.exe

martinmarn · 17.07.2008, 22:24

mach ich später und meld mich dann =)

martinmarn · 19.07.2008, 06:37

DNA:

MD5: 05d05886cad5e1161fc80fa92f2dd01c
First received: 2008.05.03 00:26:03 (CET)
Datum 2008.07.19 05:02:43 (CET) [<1D]
Ergebnisse 2/33
Permalink: analisis/23f07a461847c669b27ee049c5c9c312

Absolute Poker:

Nichts

WinRar:

Nichts

Einträge mit HijackThis gefixt

Die dateien konnte weder die Suchfunktion noch ich Manuell finden...

trojan-death · 19.07.2008, 11:17

Zitat:

Zitat von martinmarn

Absolute Poker:

Nichts

WinRar:

Nichts

Ok ist ja gut und recht aber ich würde gerne die Ergebnisse sehen

Bitte poste nochmals ein neues Hijackthis

martinmarn · 19.07.2008, 12:53

Bei dem Absolute poker dingens ist doch so ein Alltime Link bei, den müsstest einsehen können oder?

Naja hier das neue hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:46, on 19.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ6\ICQ.exe
E:\Programme\DNA\btdna.exe
E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Bonjour\mDNSResponder.exe
E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
E:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Winamp\winamp.exe
F:\DOWNLOADS!!!\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ISUSScheduler] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [VOIPlay] "D:\Programme\VOIPlay\voiplay.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "E:\Programme\Octoshape Streaming Services\habi\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - E:\Dokumente und Einstellungen\habi\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{12ABD7D2-0A77-44E1-97B0-E821F498B2E3}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - E:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 8717 bytes

trojan-death · 20.07.2008, 11:54

Ok

Nun holst du dir The Avenger (Link ist in meiner Signatur)
-Doppelklick auf The Avenger
-im weissen Feld gibst du folgenden Text ein:
Zitat:

Zitat:

files to delete:
E:\Programme\DNA\btdna.exe
folders to delete:
E:\Programme\DNA

-nun drückst du auf "Execute"
-du wirst gefragt ob du das Script ausführen möchtest--->Ja
-dann fragt er blablabla "do you want to reboot now?" --->Ja
-Zum Schluss postest du den Inhalt der C:\Avenger text datei

Bitte mach auch noch zum Schluss nen Komplett Scan mit SuperAntiSpyware

martinmarn · 21.07.2008, 05:06

Hab leider das mit der Textdatei vergessen ist da irgendwas wichtiges bei?
Kann mich noch dran erinnern das da stand Terminate complete :/

Scannen hab ich auch lassen + alles löschen lassen!
Hab aber noch nicht gerebooted also kann noch nicht sagen obs funktioniert hat ^^

martinmarn · 22.07.2008, 15:40

Also es hat sich nicht wirklich was getan?!
hast du noch ne Idee oder lieber einfach formatieren?!

trojan-death · 22.07.2008, 18:11

Ich benötige das Avenger log oder wiederhole den Vorgang

Ich hab da schon noch Ideen

Hab mir was eingefangen...

Plagegeister aller Art und deren Bekämpfung: Hab mir was eingefangen...