Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   iexplore.exe 2-mal (https://www.trojaner-board.de/29866-iexplore-exe-2-mal.html)

Famous 10.06.2006 14:59
iexplore.exe 2-mal
 
Die iexplore.exe taucht 2-mal im task manager auf. hab keine ahnung wie das wieda weg geht. Hab schon viele Foren durchforstet aba nichts brauchbares gefunden. Hoffe ihr könnt mir helfen

Hier meine Logfile :


Logfile of HijackThis v1.99.1
Scan saved at 15:45:02, on 10.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Alex\Desktop\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Catalogix - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\catalogix.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {B1F57AE6-BCCA-6ED4-F1D1-7ABAF4ECA1C5} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [FirstSeek] C:\DOKUME~1\Alex\ANWEND~1\PLATFO~1\mfcd keep.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\catalogix.dll/Catalogix.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4889CAC1-7CB1-4021-AC8D-EF5713D542A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4889CAC1-7CB1-4021-AC8D-EF5713D542A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135105884781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135106461312
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1005E62-1CC0-484E-BBAA-C2AAB6DBA386}: NameServer = 217.237.148.33 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6FB39BF-B46A-4BFA-95BE-50ACE90FB2FA}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

BataAlexander 10.06.2006 15:06
Hallo,

deinstalliere über die Systemsteuerung / Software SweetIm.

Dannach erst diese DateiC:\WINDOWS\system32\catalogix.dll bei virustotal.com scannen lassen, das Ergebnis hier posten.

Dann hier lesen und beides ausführen.

Dannach poste ein neues Logfile.

Gruß

Schrulli

Famous 10.06.2006 16:07
Complete scanning result of "catalogix.dll", received in VirusTotal at 06.10.2006, 16:48:29 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.10 06.10.2006 no virus found
Authentium 4.93.8 06.09.2006 no virus found
Avast 4.7.844.0 06.09.2006 no virus found
AVG 386 06.09.2006 no virus found
BitDefender 7.2 06.10.2006 no virus found
CAT-QuickHeal 8.00 06.10.2006 no virus found
ClamAV devel-20060426 06.09.2006 no virus found
DrWeb 4.33 06.10.2006 no virus found
eTrust-InoculateIT 23.72.33 06.10.2006 no virus found
eTrust-Vet 12.6.2250 06.09.2006 no virus found
Ewido 3.5 06.10.2006 no virus found
Fortinet 2.77.0.0 06.09.2006 suspicious
F-Prot 3.16f 06.09.2006 no virus found
Ikarus 0.2.65.0 06.09.2006 no virus found
Kaspersky 4.0.2.24 06.10.2006 no virus found
McAfee 4781 06.09.2006 no virus found
Microsoft 1.1441 06.10.2006 no virus found
NOD32v2 1.1591 06.10.2006 no virus found
Norman 5.90.21 06.09.2006 no virus found
Panda 9.0.0.4 06.10.2006 Suspicious file
Sophos 4.06.0 06.10.2006 no virus found
Symantec 8.0 06.10.2006 no virus found
TheHacker 5.9.8.157 06.10.2006 no virus found
UNA 1.83 06.09.2006 no virus found
VBA32 3.11.0 06.09.2006 suspected of Trojan-Downloader.Agent.49 (paranoid heuristics)
Aditional Information
File size: 48640 bytes
MD5: 92bfcd31b57bddf3c66125e5666138ad
SHA1: 1e03348805b0a3baab96810c1629dccce616b7d6

felix1 10.06.2006 16:20
Lasse mal das Programm laufen. Setze die Einstellungen, wie beschrieben. Anschliessend neues Log von HJT.

BataAlexander 10.06.2006 16:35
Hallo,

die Datei C:\WINDOWS\system32\catalogix.dll
nach Kaspersky schicken: newvirus@kaspersky.com.
Antwort abwarten und hier posten.

Gruß

Schrulli

Famous 10.06.2006 16:36
RootkitReveal Log:

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\BlockCount 10.06.2006 17:12 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Zone Labs\ZoneAlarm\IncomingCount 10.06.2006 17:12 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s0 13.12.2005 00:57 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s1 13.12.2005 00:57 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\s2 13.12.2005 00:57 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\g0 13.12.2005 00:57 32 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\h0 13.12.2005 00:57 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 24.02.2006 18:16 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\F3B8P3FL\ggle.free.fr\ \zn0327 31.03.2006 19:13 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\F3B8P3FL\ggle.free.fr\\zn0327 31.03.2006 19:13 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\01\10-{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}-v1-{ 29.05.2006 14:07 8 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\11\11-{7E9314AD-25AF-4138-8761-B374889986B0}-v11- 29.05.2006 14:08 1.07 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\12\12-{7E9314AD-25AF-4138-8761-B374889986B0}-v12- 29.05.2006 14:09 376 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44bbe496.qua 10.06.2006 17:25 199.79 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44bbe4dd.qua 10.06.2006 17:26 14.75 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44bbe4e2.qua 10.06.2006 17:26 68.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44bbe4e6.qua 10.06.2006 17:26 68.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44bbe4ee.qua 10.06.2006 17:26 13.68 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\01\10-{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}-v1-{ 28.05.2006 22:29 8 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\11\11-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v11- 28.05.2006 22:31 10.70 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\11\11-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v11- 28.05.2006 22:31 1.21 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\11\11-{7E9314AD-25AF-4138-8761-B374889986B0}-v11- 28.05.2006 22:35 1.07 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\12\12-{7E9314AD-25AF-4138-8761-B374889986B0}-v12- 28.05.2006 22:36 912 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\13\13-{7E9314AD-25AF-4138-8761-B374889986B0}-v13- 28.05.2006 22:38 1.07 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\14\14-{7E9314AD-25AF-4138-8761-B374889986B0}-v14- 28.05.2006 22:39 1.11 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\15\15-{7E9314AD-25AF-4138-8761-B374889986B0}-v15- 28.05.2006 22:41 1.32 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\16\16-{7E9314AD-25AF-4138-8761-B374889986B0}-v16- 28.05.2006 22:42 1.32 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\17\17-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v17- 29.05.2006 15:45 2.12 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\17\17-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v17- 29.05.2006 15:45 224 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\17\17-{7E9314AD-25AF-4138-8761-B374889986B0}-v17- 28.05.2006 22:44 1.35 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\18\18-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v18- 29.05.2006 15:45 1.44 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\18\18-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v18- 29.05.2006 15:45 168 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\18\18-{7E9314AD-25AF-4138-8761-B374889986B0}-v18- 28.05.2006 22:45 1.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\19\19-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v19- 29.05.2006 15:45 2.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\19\19-{3FC4401F-DEC5-4788-8D74-3BC4F11FBB33}-v19- 29.05.2006 15:45 272 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\19\19-{7E9314AD-25AF-4138-8761-B374889986B0}-v19- 28.05.2006 22:47 1.45 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\20\20-{7E9314AD-25AF-4138-8761-B374889986B0}-v20- 28.05.2006 22:48 1.41 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\21\21-{7E9314AD-25AF-4138-8761-B374889986B0}-v21- 28.05.2006 22:49 1.38 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\22\22-{7E9314AD-25AF-4138-8761-B374889986B0}-v22- 28.05.2006 22:50 976 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\23\23-{7E9314AD-25AF-4138-8761-B374889986B0}-v23- 28.05.2006 22:52 1.50 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\24\24-{7E9314AD-25AF-4138-8761-B374889986B0}-v24- 28.05.2006 22:55 2.97 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\25\25-{7E9314AD-25AF-4138-8761-B374889986B0}-v25- 28.05.2006 22:56 1.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\26\26-{7E9314AD-25AF-4138-8761-B374889986B0}-v26- 28.05.2006 22:57 1.23 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\27\27-{7E9314AD-25AF-4138-8761-B374889986B0}-v27- 28.05.2006 22:58 1.20 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\28\28-{7E9314AD-25AF-4138-8761-B374889986B0}-v28- 28.05.2006 23:00 10.82 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\28\28-{7E9314AD-25AF-4138-8761-B374889986B0}-v28- 28.05.2006 23:00 1.22 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\29\29-{7E9314AD-25AF-4138-8761-B374889986B0}-v29- 28.05.2006 23:03 2.98 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\30\30-{7E9314AD-25AF-4138-8761-B374889986B0}-v30- 29.05.2006 14:10 12.91 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\30\30-{7E9314AD-25AF-4138-8761-B374889986B0}-v30- 29.05.2006 14:10 1.45 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\31\31-{7E9314AD-25AF-4138-8761-B374889986B0}-v31- 29.05.2006 14:11 992 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\32\32-{7E9314AD-25AF-4138-8761-B374889986B0}-v32- 29.05.2006 14:12 984 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Olga\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\schnuckimaus17@msn.com\SharingMetadata\frechesbaby@msn.com\DFSR\Staging\CS{46B3F687-9BBF-F835-FA4C-D249B53A6AEA}\33\33-{7E9314AD-25AF-4138-8761-B374889986B0}-v33- 29.05.2006 14:13 1.23 KB Hidden from Windows API.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP268\A0169823.exe 30.05.2006 20:03 199.37 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP289\A0171646.exe 21.05.2006 17:39 14.33 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP289\A0171714.exe 07.06.2006 14:44 67.79 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP289\A0171715.exe 07.06.2006 14:45 67.79 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP290\A0171804.exe 07.06.2006 15:25 13.26 KB Visible in Windows API, but not in MFT or directory index.

Famous 10.06.2006 16:39
die catalogix.ddl ist weg richtung kaspersky. da bin ich aber mal gespannt.

Famous 10.06.2006 16:48
@felix1

Hier die Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:47:40, on 10.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Alex\Desktop\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Catalogix - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\catalogix.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {B1F57AE6-BCCA-6ED4-F1D1-7ABAF4ECA1C5} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [FirstSeek] C:\DOKUME~1\Alex\ANWEND~1\PLATFO~1\mfcd keep.exe
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\catalogix.dll/Catalogix.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4889CAC1-7CB1-4021-AC8D-EF5713D542A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4889CAC1-7CB1-4021-AC8D-EF5713D542A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135105884781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135106461312
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1005E62-1CC0-484E-BBAA-C2AAB6DBA386}: NameServer = 217.237.148.33 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6FB39BF-B46A-4BFA-95BE-50ACE90FB2FA}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Famous 10.06.2006 16:55
Ähm hab da noch ne Frage. SweetIM ist weder unter Software zu finden noch existiert der Ordner C:\Programme\Macrogaming\SweetIM
dafür aber die Registry-Einträge die auf diesen Ort auf meinem Rechner verweisen.
Ich glaub ich krisch Plack.

Hab ich noch nie erlebt sowas.

Famous 10.06.2006 16:59
achja und hier noch die rapport.txt :


SmitFraudFix v2.57

Scan done at 17:02:31,20, 10.06.2006
Run from C:\Dokumente und Einstellungen\Alex\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Famous 10.06.2006 17:00
Jetzt erstmal abwarten und Tee trinken

:confused:

felix1 10.06.2006 17:30
Fixe mit HJT im abgesicherten Modus:
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {B1F57AE6-BCCA-6ED4-F1D1-7ABAF4ECA1C5} - (no file)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4889CAC1-7CB1-4021-AC8D-EF5713D542A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4889CAC1-7CB1-4021-AC8D-EF5713D542A7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)

Famous 10.06.2006 17:51
Hab alles gemacht was mir vorgeschlagen wurde nur leider hat das nix geholfen. Man da muss ich wahrscheinlich doch neu aufsetzen.Mach ich dann morgen.
Aber falls noch jemand Lösung hat bitte weiter hier posten.

felix1 10.06.2006 17:54
Suche nochmals richtig nach den von Schrulli genannten Dateien. Benutze dazu die Hinweise in meiner Signatur.

BataAlexander 10.06.2006 17:56
Hallo,

Zitat:
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP268\A0169823.exe 30.05.2006 20:03 199.37 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP289\A0171646.exe 21.05.2006 17:39 14.33 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP289\A0171714.exe 07.06.2006 14:44 67.79 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP289\A0171715.exe 07.06.2006 14:45 67.79 KB Visible in Windows API, but not in MFT or directory index.
C:\System Volume Information\_restore{9CAC5938-0143-4DC3-BCF6-E9F14A43D16A}\RP290\A0171804.exe 07.06.2006 15:25 13.26 KB Visible in Windows API, but not in MFT or directory index.
+ winrkp32.dll
+ C:\WINDOWS\system32\catalogix.dll

finde ich zu viel komische Sachen, daher würde ich Dir gleiches empfehlen. Vergiss bitte nicht die Info, was mit der .dll ist.

Gruß

Schrulli

Famous 10.06.2006 18:10
jo mach ich.wie lange dauerts bis kaspersky mir antwortet ca.????

Famous 10.06.2006 19:16
Es wurde nix von kaspersky gefunden!!!Ich würde sagen das die Topic nun geschlossen werden kann.Werde mein System neu aufsetzen.
Danke nochmal an eure Bemühungen.

felix1 10.06.2006 19:24
Prüfe Dein System mit Ewido Antimalware 3.5 Link dazu http://www.ewido.net/de/
Poste das Log-File.
Scanne Dein System mit F-Secure Blacklight und poste das Log.

Wildone 10.06.2006 19:41
Hallo,
*hust* das wird Swizzor sein, Anleitung zum entfernen hier. Relevanter Eintrag:

O4 - HKCU\..\Run: [FirstSeek] C:\DOKUME~1\Alex\ANWEND~1\PLATFO~1\mfcd keep.exe


Grüße Wildone

Famous 11.06.2006 00:14
Danke @ Wildone. die Prozesse sind weg und bei Panda wurde zwar Spyware gefunden is aber halb so schlimm. An alle anderen auch ein großes Dankeschön für eure Bemühungen.

knaeck 14.06.2006 16:28
Noch eine Frage zur catalogix.dll:
Die installiert sich auch wenn man die Toolbar von www.catalogix.info auf sein System packt. Bei mir funktioniert das Ding nicht einmal, die .dll bleibt aber da und macht was??:eek:

Hast Du Dir bewußt diese Toolbar installiert oder wie bist Du an diese .dll gekommen? Vielleicht auch mal auf das Datum der Datei schauen, das ist der Installationszeitpunkt.

Also
a) habs bewusst installiert
b) habs bestimmt nicht installiert
c) weiss es wirklich nicht mehr

Viele Grüße,

Knaecki


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131