Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Wäre für Logfile-Durchsicht und Hilfe dankbar (https://www.trojaner-board.de/56040-waere-logfile-durchsicht-hilfe-dankbar.html)

sambal 15.07.2008 19:35
Wäre für Logfile-Durchsicht und Hilfe dankbar
 
Hallo,

ich habe die gleichen Probleme wie schon viele andere hier: z. B. das Google die Suche nicht mehr ausführt und ich diverse Internetseiten nicht mehr geöffnet bekomme.

Ich habe derzeit nur ein inaktives Spybot S&D unter WinXP Pro 2002 SP2 installiert. Ich hatte kurzzeitig Norton360 installiert, dies drehte aber im Zusammenspiel mit Spybot völlig durch. Bzw. andersherum: Spybot meldete ohne Ende Registrierungs-Änderungen und tut dies leider auch jetzt noch, nachdem ich Norton360 wieder (vermeintlich deinstalliert habe.

Es wäre toll, wenn mir jemand helfen könnte! Ich habe HJT laufen lassen. Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:06:28, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\WINXP\system32\winadm.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\emMON.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\1&1\IGDCTRL.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINXP\system32\nvsvc32.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\rundll32.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillianneu\trillian.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://sedoparking.com/domparking.php?id=827484&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - C:\WINXP\system32\yayyWopN.dll (file missing)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - C:\WINXP\system32\qoMcabxV.dll (file missing)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - C:\WINXP\system32\wvUnOHya.dll (file missing)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - C:\WINXP\system32\awtuuTLc.dll (file missing)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - C:\WINXP\system32\tuvULFUk.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - C:\WINXP\system32\efcCtUlI.dll
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINXP\system32\ieconfig_1und1.dll
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - C:\WINXP\system32\ddcCVnOe.dll
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - C:\WINXP\system32\iifecaXQ.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [syshost] C:\WINXP\system32\syshost.exe
O4 - HKLM\..\Run: [_winadm] C:\WINXP\system32\winadm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [9cdbde2b] rundll32.exe "C:\WINXP\system32\rhxlaaun.dll",b
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\pnasofny.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: movie - XL.lnk = C:\Programme\movie - XL\StartJP.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\SYSTEM32\efcCtUlI.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&1\IGDCTRL.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 14181 bytes

Ich hoffe, ich habe alle Regeln befolgt und das Logfile entsprechend richtig bearbeitet.

Mir ist grade eingefallen, dass ich seit Neuestem beim PC-Start immer eine Fehlermeldung erhalte. Diese ergänze ich gleich noch ...

Vielen Dank schonmal im Voraus für Eure Hilfe.

MfG,
Sambal

sambal 18.07.2008 15:22
Sorry, habe es erst jetzt geschafft: Bekomme beim Starten immer die Meldung RUNDLL: Fehler beim Laden von C:\WINXP\system32\rhxlaaun,dll . Das angegebene Modul wurde nicht gefunden.

Es wäre super, wenn mir irgendjemand helfen könnte!!!

Vielen Dank nochmals im Voraus.

nochdigger 18.07.2008 16:54
Hallo und :hallo:

dein System scheint mir sehr stark befallen, darum mach dich bitte schonmal mit der Anleitung fürs neu aufsetzen vertraut
http://www.trojaner-board.de/51262-a...sicherung.html


Mach bitte alle versteckten Dateien und Ordner sichtbar und lass dann diese Dateien

C:\WINXP\system32\efcCtUlI.dll
C:\WINXP\system32\ddcCVnOe.dll
C:\WINXP\system32\syshost.exe
C:\WINXP\system32\winadm.exe
C:\WINXP\system32\rhxlaaun.dll
C:\WINXP\system32\pnasofny.dll

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.


Führe bitte auch einen Onlinescan durch z.B. hier
Free Virus Scan - Kaspersky Lab
und poste ebenfalls das Ergebnis

MFG

sambal 18.07.2008 20:16
Hallo Nochdigger,
vielen Dank dass Du Dich um mich kümmern magst! Ich versuche es mal:

Größe: 33 KB
Datei efcCtUlI.dll empfangen 2008.06.23 22:43:03 (CET)
Status: Beendet
Ergebnis: 22/33 (66.67%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Monder.33280
Authentium - - W32/Sinowal-based!Maximus
Avast - - Win32:VunDrop
AVG - - Generic10.AKYL
BitDefender - - -
CAT-QuickHeal - - Trojan.Shutdowner.ie
ClamAV - - Trojan.Monder-3
DrWeb - - Trojan.DownLoader.59972
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Sinowal-based!Maximus
F-Secure - - Trojan.Win32.Shutdowner.ie
Fortinet - - W32/Shutdowner.IE!tr
GData - - Trojan.Win32.Shutdowner.ie
Ikarus - - Virus.Win32.VunDrop
Kaspersky - - Trojan.Win32.Shutdowner.ie
McAfee - - -
Microsoft - - Trojan:Win32/Vundo.gen!H
NOD32v2 - - Win32/Adware.Virtumonde
Norman - - -
Panda - - Spyware/Virtumonde
Prevx1 - - Worm
Rising - - Trojan.Win32.Virtumond.f
Sophos - - Mal/Generic-A
Sunbelt - - -
Symantec - - -
TheHacker - - Trojan/Shutdowner.ie
TrendMicro - - -
VBA32 - - Trojan.Win32.Shutdowner.ic
VirusBuster - - -
Webwasher-Gateway - - Trojan.Monder.33280
weitere Informationen
MD5: c7717afc5350d3e7e1c5c47ff16d8ada
SHA1: 4eb263c55afe573debb53a2c82f35a963e387db9
SHA256: ad8c97c19d92856cd26ec82150f7332c2d869665fa0f1fe24d7bca5200b2995c
SHA512: 9189c7cd223f22e7548f638c22a08befbe555d452f83ae4d317f777fb3a28401cb73991c72f3273c137431197fe9ed89cf2384d70006ed33136712b610292d20

ddcCVnOe.dll gibt es nicht
syshost.exe gibt es nicht

winadm.exe Größe: 1.108 kb
Datei winadm.exe empfangen 2008.01.07 18:08:11 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - BACKDOOR.Trojan
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: 4a0a506e392cd7ad76fade94f476b03f
SHA1: d99ab8c5e071883feca4197c8a06555cdfc1b483
SHA256: 9c0ff1de8b8c0df1da660835549d18ebbd2d2746c16dbc068b76b4c73b90051b
SHA512: fcb837bd9a10967b38f09e13332e92bcf621fee33e7f3f5598963466d92573e6bb921501b3d53cf0a72a337339edb4451b7e08bf6adafdf123aef846e8f7fd28

rhxlaaun.dll gibt es nicht

pnasofny.dll Größe = 90 kb
Datei pnasofny.dll empfangen 2008.07.18 21:13:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/33 (63.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.1.11 2008.07.18 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.18 -
Avast 4.8.1195.0 2008.07.18 -
AVG 8.0.0.130 2008.07.18 Vundo.U
BitDefender 7.2 2008.07.18 Trojan.Vundo.EWZ
CAT-QuickHeal 9.50 2008.07.18 Trojan.Monderc.gen
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.18 Trojan.Virtumod.based.21
eSafe 7.0.17.0 2008.07.17 Win32.Monderc.gen
eTrust-Vet 31.6.5965 2008.07.18 -
Ewido 4.0 2008.07.18 -
F-Prot 4.4.4.56 2008.07.18 W32/Virtumonde.AB.gen!Eldorado
F-Secure 7.60.13501.0 2008.07.18 Trojan.Win32.Monderc.gen
Fortinet 3.14.0.0 2008.07.18 W32/Monderc!tr
GData 2.0.7306.1023 2008.07.18 Trojan.Win32.Monderc.gen
Ikarus T3.1.1.34.0 2008.07.18 Virus.Trojan.Win32.Monderc
Kaspersky 7.0.0.125 2008.07.18 Trojan.Win32.Monderc.gen
McAfee 5342 2008.07.18 Vundo
Microsoft 1.3704 2008.07.18 Trojan:Win32/Vundo.gen!R
NOD32v2 3280 2008.07.18 Win32/Adware.Virtumonde
Norman 5.80.02 2008.07.18 Vundo.gen192
Panda 9.0.0.4 2008.07.18 -
Prevx1 V2 2008.07.18 Fraudulent Security Program
Rising 20.53.42.00 2008.07.18 -
Sophos 4.31.0 2008.07.18 Mal/Generic-A
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.18 Trojan.Vundo
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 -
VBA32 3.12.8.1 2008.07.18 Trojan.Win32.Monderc.gen
VirusBuster 4.5.11.0 2008.07.18 -
Webwasher-Gateway 6.6.2 2008.07.18 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 92160 bytes
MD5...: 9d5d297394f4803fdd29afc54c6c64bf
SHA1..: 9b8feb07e766d5fc6db9eb137657adf39cecfadc
SHA256: e5ee210c632f564366d456312ff0600c52a346518fc31500ecf25f8a88c899cd
SHA512: eec96242c4268b0ed559f53f95a90826d142766265edb96d6daca4aae24f2f8d
69eac4ad31e256cf55978c761d5575e3018f832c47e06790727cf02f92c4c0a5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002b97d
timedatestamp.....: 0x27ed2dad (Sun Mar 24 22:52:29 1991)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x1000 0x2a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x2b000 0x111c 0x1200 6.27 7f3c76becdf8af210e85ec32beb7826d
.rdata 0x2d000 0x15000 0x14800 7.99 9e2ff3834eb6efa746a88e0fe04fbec4
.idata 0x42000 0x1000 0x600 3.70 ecf21121ad1a7c1d1ec71bc4b200ba13
.reloc 0x43000 0x1000 0x400 0.86 043c012ea87b53f4adb22e5eec41c50b

( 4 imports )
> kernel32.dll: InitializeCriticalSectionAndSpinCount, CreateEventW, GetEnvironmentVariableA, lstrcpyA, CloseHandle, GlobalReAlloc, CreateMutexW, MultiByteToWideChar, GlobalHandle, lstrcmpW, HeapDestroy
> gdi32.dll: EngAcquireSemaphore, CreatePen, CreatePalette, EngPaint, EngGradientFill
> advapi32.dll: CancelOverlappedAccess, ConvertAccessToSecurityDescriptorA, CryptGenRandom, RegOpenKeyA, CryptDestroyHash, CryptDecrypt, RegCloseKey, IsWellKnownSid, ConvertStringSidToSidA, ConvertSidToStringSidA, CloseEventLog
> shell32.dll: StrRStrIW, ExtractIconEx, StrCmpNW, ExtractAssociatedIconA, StrChrW, InternalExtractIconListA, StrNCmpIW, DragFinish, StrStrIW, StrCmpNA, StrRStrIA, SHGetPathFromIDList, CommandLineToArgvW, StrStrA

( 0 exports )
Prevx info: TWLPYNEG.DLL - Prevx

Ich hoffe, ich konnte damit weiterhelfen ...

VIELEN DANK

nochdigger 18.07.2008 21:46
Hallo

lade diese Datei
C:\WINXP\system32\winadm.exe
bitte hier hoch
Submit your sample
du wirst in wenigen Tagen ein Ergebnis erhalten, dass ich gerne sehen würde.

Führe bitte noch den verlinkten Onlinescan mit Kaspersky durch.

MFG

sambal 18.07.2008 22:57
Hallo,

der online-Kasper ist noch am Werk, das dauert wohl auch noch :o(

Hier das Ergebnis der Datei:

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
259942 winadmd.exe 32 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
winadmd.exe MALWARE

Die Datei 'winadmd.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen APPL/ParentsFriend.7004.B gegeben. Bei der Bezeichnung APPL/ handelt es sich um eine Applikation, deren Nutzung mit einem Risiko verbunden sein kann oder die von fragwürdiger Herkunft ist.Ein Erkennungsmuster ist mit Version 6.38.00.144 der Virendefinitionsdatei (VDF) hinzugefügt.
Die oben aufgeführten Ergebnisse werden wir Ihnen zusätzlich via Email übermitteln. Sofern das Endergebnis noch nicht für alle Dateien verfügbar ist müssen Sie sich gegebenenfalls noch gedulden.

nochdigger 19.07.2008 05:51
Moin

um die winadm.exe brauchen wir uns wohl keinen Kopf zu machen, sie wird auch von Antivir als Programmteil/Applikation von Parents Friend erkannt.

MFG

sambal 19.07.2008 15:02
Hallo,
hier nun das wohl nicht so schöne Kasper-Ergebnis (beim 1. Lauf hatte ich den ganzen PC scannen lassen, da wollte er bei 97 % nicht mehr weitermachen und ich habe nach 19,42 Stunden abgebrochen):

Saturday, July 19, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, July 19, 2008 12:34:24
Records in database: 972116
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area Critical Areas
C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart
C:\Dokumente und Einstellungen\husch\Startmenü\Programme\Autostart
C:\Program Files
C:\Programme
C:\WINXP
Scan statistics
Files scanned 31005
Threat name 6
Infected objects 79
Suspicious objects 0
Duration of the scan 00:16:28

File name Threat name Threats count
winlogon.exe\efcCtUlI.dll/winlogon.exe\efcCtUlI.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.xae 1
C:\WINXP\system32\efcCtUlI.dll/C:\WINXP\system32\efcCtUlI.dll Infected: Trojan.Win32.Shutdowner.ie 2
C:\WINXP\system32\byXqromn.dll/C:\WINXP\system32\byXqromn.dll Infected: Trojan.Win32.Monderc.gen 1
explorer.exe\efcCtUlI.dll/explorer.exe\efcCtUlI.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.xae 1
C:\WINXP\system32\hreyhlfm.dll/C:\WINXP\system32\hreyhlfm.dll Infected: Trojan.Win32.Monderc.gen 25
winadmd.exe\winadmd.exe/winadmd.exe\winadmd.exe Infected: not-a-virus:Monitor.Win32.ParentsFriend.7004 1
C:\WINXP\system32\winadmd.exe/C:\WINXP\system32\winadmd.exe Infected: not-a-virus:Monitor.Win32.ParentsFriend.7004 1
C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL Infected: not-a-virus:AdTool.Win32.MyWebSearch.a 1
C:\WINXP\system32\byXqromn.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\celvmy.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\cjxcza.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\Comclg32.dll Infected: not-a-virus:Monitor.Win32.ParentsFriend.7004 1
C:\WINXP\system32\cvjvulwj.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\ealtammu.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\efcCtUlI.dll Infected: Trojan.Win32.Shutdowner.ie 1
C:\WINXP\system32\ekhadtip.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\embyffgm.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\exkgpfvo.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\firjepmm.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\fmhgwo.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\hreyhlfm.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\ioiicu.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\irttvowi.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\jdccssse.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\kbljlr.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\kdvevs.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\khlxqlte.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\knbaivva.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\kukyxbhw.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.zji 1
C:\WINXP\system32\lsobndlf.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\ntsgdh.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\oilxhpqe.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\okxcfndg.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\otkshhyp.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\pbmbqftl.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\pnasofny.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\qaqhdbsy.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\qnuxjuau.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\qtcqsdme.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\rkwxal.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\rtqmmmig.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\spwibqfb.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\tatkgjnw.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\tavopron.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\txcctayk.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\usyoyjul.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\uvcuurxq.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\wfxieqfg.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\winadmd.exe Infected: not-a-virus:Monitor.Win32.ParentsFriend.7004 1
C:\WINXP\system32\wkodgb.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\xckqnt.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\xjrsoncc.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\xqduhe.dll Infected: Trojan.Win32.Monderc.gen 1
C:\WINXP\system32\zklpyc.dll Infected: Trojan.Win32.Monderc.gen 1
The selected area was scanned.

Ist vielleicht doch noch was zu retten?!

Vielen Dank und Grüße

nochdigger 19.07.2008 16:10
Hallo

OK, wagen wir uns mal vorsichtig ran.
Lade dir bitte Malwarebytes und lass es dein System untersuchen (bitte noch nichts löschen).

Erstelle bitte auch mit dem Runscanner ein Log.
Poste beide Logs hierher, am Besten in Codetags --> das ist die Raute # in der Antwortbox (deine Antwort zwischen die eckigen Klammern).

MFG

sambal 19.07.2008 16:22
Zitat:
Zitat von nochdigger (Beitrag 355658)
Hallo

OK, wagen wir uns mal vorsichtig ran.
Lade dir bitte Malwarebytes und lass es dein System untersuchen (bitte noch nichts löschen).

Erstelle bitte auch mit dem Runscanner ein Log.
Poste beide Logs hierher, am Besten in Codetags --> das ist die Raute # in der Antwortbox (deine Antwort zwischen die eckigen Klammern).

MFG
Code:
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 967
Windows 5.1.2600 Service Pack 2

17:17:51 19.07.2008
mbam-log-7-19-2008 (17-17-39).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47711
Laufzeit: 2 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 29

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\kdvevs.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3c4727c2-bf3f-48f0-9670-33d72e2ed5c0} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3c4727c2-bf3f-48f0-9670-33d72e2ed5c0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78ee0128-70eb-4af9-ae23-778ece54976b} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{78ee0128-70eb-4af9-ae23-778ece54976b} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcctuli (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm9fe8edb7 (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\winxp\system32\byxqromn -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\winxp\system32\byxqromn  -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nmorqXyb.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nmorqXyb.ini2 (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\kdvevs.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\ekhadtip.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\pitdahke.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\kukyxbhw.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\whbxykuk.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\otkshhyp.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\pyhhskto.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\pbmbqftl.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\ltfqbmbp.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\rtqmmmig.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\gimmmqtr.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\txcctayk.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\kyatccxt.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\usyoyjul.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\lujyoysu.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\tatkgjnw.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\ealtammu.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\khlxqlte.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\knbaivva.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\jdccssse.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\wfxieqfg.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\cookies.ini (Malware.Trace) -> No action taken.
C:\WINXP\system32\hreyhlfm.dll (Trojan.Agent) -> No action taken.
C:\WINXP\BM9fe8edb7.xml (Trojan.Vundo) -> No action taken.
C:\WINXP\BM9fe8edb7.txt (Trojan.Vundo) -> No action taken.

sambal 19.07.2008 16:25
Zitat:
Zitat von nochdigger (Beitrag 355658)
Hallo

OK, wagen wir uns mal vorsichtig ran.
Lade dir bitte Malwarebytes und lass es dein System untersuchen (bitte noch nichts löschen).

Erstelle bitte auch mit dem Runscanner ein Log.
Poste beide Logs hierher, am Besten in Codetags --> das ist die Raute # in der Antwortbox (deine Antwort zwischen die eckigen Klammern).

MFG
Code:
Runscanner logfile http://www.runscanner.net

* = signed file
- = file not found

000 General info
----------------
Computer name : GH-5E0D11BFBED1
Creation time : 19.07.2008 17:18:33
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.13
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINXP

001 Running processes
---------------------
c:\programme\gemeinsame dateien\aav\aavus.exe
* c:\programme\lexmark 2200 series\lxbvbmon.exe (Jetsoft Development Company)
* c:\winxp\system32\services.exe (Microsoft Corporation)
c:\progra~1\nvidia~1\networ~1\apache group\apache2\bin\apache.exe (Apache Software Foundation)
c:\progra~1\nvidia~1\networ~1\apache group\apache2\bin\apache.exe (Apache Software Foundation)
c:\progra~1\nvidia~1\networ~1\bin\nsvcappflt.exe
* c:\winxp\system32\alg.exe (Microsoft Corporation)
* c:\programme\1&1\igdctrl.exe (AVM Berlin)
c:\winxp\emmon.exe (eMPIA Technology, Inc.)
* c:\winxp\system32\csrss.exe (Microsoft Corporation)
c:\winxp\system32\crypserv.exe (CrypKey (Canada) Ltd.)
* c:\winxp\system32\ctfmon.exe (Microsoft Corporation)
c:\winxp\system32\winadmd.exe (-)
* c:\winxp\system32\rundll32.exe (Microsoft Corporation)
* c:\winxp\system32\rundll32.exe (Microsoft Corporation)
* c:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
c:\progra~1\nvidia~1\networ~1\bin\ntrayfw.exe (NVIDIA Corporation)
c:\programme\avmwlanstick\wlangui.exe (AVM)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\winxp\system32\svchost.exe (Microsoft Corporation)
* c:\programme\google\common\google updater\googleupdaterservice.exe (Google)
* c:\programme\java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.)
c:\programme\movie - xl\j-point.exe
* c:\winxp\system32\lexbces.exe (Lexmark International, Inc.)
c:\programme\lexmark 2200 series\lxbvbmgr.exe (Lexmark International, Inc.)
* c:\winxp\system32\lexpps.exe (Lexmark International, Inc.)
* c:\programme\logitech\gaming software\lwemon.exe (Logitech Inc.)
* c:\winxp\system32\lsass.exe (Microsoft Corporation)
* c:\programme\malwarebytes' anti-malware\mbam.exe (Malwarebytes Corporation)
* c:\programme\gemeinsame dateien\ahead\lib\nmindexstoresvr.exe (Nero AG)
* c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe (Nero AG)
* c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe (Nero AG)
c:\progra~1\nvidia~1\networ~1\bin\nsvcip.exe (NVIDIA Corporation)
c:\progra~1\nvidia~1\networ~1\bin\nsvclog.exe (NVIDIA)
* c:\winxp\system32\nvsvc32.exe (NVIDIA Corporation)
c:\nokia\pc suite\nokia pc suite 6\launchapplication.exe (Nokia)
* c:\winxp\system32\pnkbstra.exe
* c:\winxp\rthdcpl.exe (Realtek Semiconductor Corp.)
c:\programme\gemeinsame dateien\terratec\remote\tttvrc.exe (TerraTec Electronic GmbH)
* c:\runscanner\runscanner.exe (Runscanner.net)
c:\dokumente und einstellungen\husch\lokale einstellungen\temp\jkos-husch\binaries\scanningprocess.exe (Kaspersky Lab.)
c:\dokumente und einstellungen\husch\lokale einstellungen\temp\jkos-husch\binaries\scanningprocess.exe (Kaspersky Lab.)
c:\programme\pc connectivity solution\servicelayer.exe (Nokia.)
* c:\winxp\system32\spoolsv.exe (Microsoft Corporation)
c:\programme\gemeinsame dateien\terratec\scheduler\tttimer.exe (TerraTec Electronic GmbH)
* c:\programme\trillianneu\trillian.exe (Cerulean Studios)
* c:\programme\daemon tools\daemon.exe (DT Soft Ltd.)
c:\winxp\system32\winadm.exe (Müller)
c:\programme\winamp\winampa.exe
* c:\winxp\explorer.exe (Microsoft Corporation)
* c:\winxp\system32\winlogon.exe (Microsoft Corporation)
* c:\winxp\system32\smss.exe (Microsoft Corporation)
c:\programme\avmwlanstick\wlannetservice.exe (AVM Berlin)
* c:\winxp\system32\wbem\wmiprvse.exe (Microsoft Corporation)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\winxp\system32\winadm.exe (Müller)
- c:\winxp\system32\rhxlaaun.dll
c:\programme\avmwlanstick\wlangui.exe (AVM)
c:\winxp\system32\hreyhlfm.dll
C:\WINXP\emmon.exe (eMPIA Technology, Inc.)
c:\winxp\system32\jmraidsetup.exe (JMicron Technology Corp.)
c:\winxp\jm\jminside.exe
c:\programme\lexmark 2200 series\lxbvbmgr.exe (Lexmark International, Inc.)
c:\progra~1\nvidia~1\networ~1\bin\ntrayfw.exe (NVIDIA Corporation)
C:\WINXP\system32\nwiz.exe
c:\nokia\pc suite\nokia pc suite 6\launchapplication.exe (Nokia)
* c:\programme\logitech\gaming software\lwemon.exe (Logitech Inc.)
- c:\winxp\system32\syshost.exe
c:\programme\gemeinsame dateien\terratec\remote\tttvrc.exe (TerraTec Electronic GmbH)
c:\programme\gemeinsame dateien\terratec\scheduler\tttimer.exe (TerraTec Electronic GmbH)
c:\programme\winamp\winampa.exe

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
* c:\programme\daemon tools\daemon.exe (DT Soft Ltd.)
c:\programme\winamp remote\bin\orbtray.exe (Orb Networks)
* c:\programme\spybot - search & destroy\teatimer.exe (Safer Networking Limited)

004 C:\Dokumente und Einstellungen\husch\Startmenü\Programme\Autostart
----------------------------------------------------------------------
c:\progra~1\movie-~1\startjp.exe

005 C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart
--------------------------------------------------------------------------------
c:\progra~1\adobe\acroba~1.0\reader\reader~1.exe (Adobe Systems Incorporated)

008 Default user \Software\Microsoft\Windows\CurrentVersion\Run (+subkeys)
--------------------------------------------------------------------------
c:\nokia\pc suite\nokia pc suite 6\pcsync2.exe (Time Information Services Ltd.)

009 System user\Software\Microsoft\Windows\CurrentVersion\Run (+subkeys)
------------------------------------------------------------------------
c:\nokia\pc suite\nokia pc suite 6\pcsync2.exe (Time Information Services Ltd.)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\gemeinsame dateien\aav\aavus.exe (AAV UpdateService)
* c:\programme\1&1\igdctrl.exe (AVM IGD CTRL Service)
c:\programme\avmwlanstick\wlannetservice.exe (AVM WLAN Connection Service)
C:\WINXP\system32\crypserv.exe (Crypkey License)
c:\progra~1\nvidia~1\networ~1\bin\nsvcappflt.exe (ForceWare Intelligent Application Manager (IAM))
c:\progra~1\nvidia~1\networ~1\bin\nsvcip.exe (ForceWare IP service)
c:\progra~1\nvidia~1\networ~1\bin\nsvclog.exe (ForceWare user log service)
c:\progra~1\nvidia~1\networ~1\apache group\apache2\bin\apache.exe (Forceware Web Interface)
* c:\programme\google\common\google updater\googleupdaterservice.exe (Google Updater Service)
c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe (InstallDriver Table Manager)
* c:\winxp\system32\pnkbstra.exe (PnkBstrA)
c:\programme\pc connectivity solution\servicelayer.exe (ServiceLayer)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
- c:\winxp\system32\drivers\a46ehk1w.sys (a46ehk1w)
* C:\WINXP\system32\drivers\atksgt.sys (atksgt)
- c:\winxp\system32\drivers\changer.sys (Changer)
- c:\winxp\system32\drivers\cap7134.sys (Cinergy 200 TV Capture)
C:\WINXP\system32\drivers\phtvtune.sys (Cinergy 200 TV Tuner)
C:\WINXP\system32\drivers\emfilter.sys (Cinergy 200/250 USB Lower Filter)
C:\WINXP\system32\drivers\emscan.sys (Cinergy 200/250 USB Still Image)
C:\WINXP\system32\drivers\emdevice.sys (Cinergy 200/250 USB Video Capture)
- c:\winxp\system32\drivers\bt848.sys (Conexant's BtPCI WDM Video Capture)
- c:\winxp\system32\drivers\i2omgmt.sys (i2omgmt)
- c:\winxp\system32\drivers\lbrtfdc.sys (lbrtfdc)
* C:\WINXP\system32\drivers\lirsgt.sys (lirsgt)
* C:\WINXP\system32\drivers\wmfilter.sys (Logitech Gaming HID Filter Driver)
* C:\WINXP\system32\drivers\wmhidlo.sys (Logitech Gaming USB Filter Driver)
* C:\WINXP\system32\drivers\wmxlcore.sys (Logitech Translation Layer Driver)
* C:\WINXP\system32\drivers\wmbenum.sys (Logitech Virtual Bus Enumerator Driver)
* C:\WINXP\system32\drivers\wmvirhid.sys (Logitech Virtual Hid Device Driver)
* c:\winxp\system32\drivers\mbamswissarmy.sys (MBAMSwissArmy)
c:\winxp\system32\ckldrv.sys (NetworkX)
c:\winxp\system32\drivers\okipar.sys (OkiPar)
C:\WINXP\system32\drivers\pfc.sys (Padus ASPI Shell)
- c:\winxp\system32\drivers\pcidump.sys (PCIDump)
- c:\winxp\system32\drivers\pdcomp.sys (PDCOMP)
- c:\winxp\system32\drivers\pdframe.sys (PDFRAME)
- c:\winxp\system32\drivers\pdreli.sys (PDRELI)
- c:\winxp\system32\drivers\pdrframe.sys (PDRFRAME)
C:\WINXP\system32\drivers\sptd.sys (sptd)
C:\WINXP\system32\drivers\embda.sys (USB 2800 Device)
C:\WINXP\system32\drivers\emoem.sys (USB 28xx OEM Filter)
- c:\winxp\system32\drivers\wdica.sys (WDICA)

041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar
----------------------------------------------------------
c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll {47833539-D0C5-4125-9FA8-0819E2EAAC93}
c:\programme\askpbar\bar\1.bin\askpbar.dll (Ask.com) {F4D76F09-7896-458a-890F-E1F05C46069F}

045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
----------------------------------------------------------------
c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll {47833539-D0C5-4125-9FA8-0819E2EAAC93}
c:\programme\askpbar\bar\1.bin\askpbar.dll (Ask.com) {F4D76F09-7896-458A-890F-E1F05C46069F}

047 Trusted zones
-----------------
Zone: fritz.box : *.fritz.box

050 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
-----------------------------------------------------------------------------
c:\winxp\system32\efcctuli.dll {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0}

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
----------------------------------------------------------------------------------
GUID / CLSID not found {02F1680C-3D42-4ABA-A21B-60D7D702D3C5}
GUID / CLSID not found {04C1FB24-13C0-4879-91E3-530480B8435D}
GUID / CLSID not found {08D55B0E-5701-4FD1-A311-C72728397B36}
GUID / CLSID not found {0A7F954D-87AE-4075-9173-E5197729AFB5}
GUID / CLSID not found {115aba89-8931-4eb7-ab8f-d4c2144b615a}
GUID / CLSID not found {14EEE55C-350A-4DCB-9755-711E339B0143}
GUID / CLSID not found {1E8A6170-7264-4D0F-BEAE-D42A53123C75}
GUID / CLSID not found {1F30CC18-E60C-47F6-8491-B147611716A6}
GUID / CLSID not found {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5}
GUID / CLSID not found {30f432d6-3d78-4f03-96bb-537bae4edbb8}
GUID / CLSID not found {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34}
GUID / CLSID not found {39659af7-55d5-41de-bdf1-d71d9f10383f}
GUID / CLSID not found {435603ce-22b6-4136-bd34-9e424a84d292}
GUID / CLSID not found {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6}
GUID / CLSID not found {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD}
GUID / CLSID not found {4F08C949-344E-4D5F-9998-A2F538964B29}
GUID / CLSID not found {50e4dbac-4dbb-43af-b42f-1b49971040da}
GUID / CLSID not found {552D71CF-C8A1-481C-A67F-99A4BCD6306C}
GUID / CLSID not found {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660}
GUID / CLSID not found {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99}
GUID / CLSID not found {5ce2d153-1b85-4c8e-a973-f17c18a1b089}
GUID / CLSID not found {61ba702a-4358-4a00-a07f-f42a6f1fe240}
GUID / CLSID not found {6559ebb3-4173-43a7-8a33-f9c007a8b5c5}
GUID / CLSID not found {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96}
GUID / CLSID not found {68b02ca5-2640-4758-9c95-1eb98f5bf0bf}
GUID / CLSID not found {68ed779e-3263-4517-a46f-b0204f342b1f}
GUID / CLSID not found {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60}
GUID / CLSID not found {70A4B46A-0FB6-46D0-A218-7E93AE2DE733}
GUID / CLSID not found {7BA9225C-6D21-4E39-BED0-4EB99F32342C}
GUID / CLSID not found {7EA2C94D-292B-4EC8-B129-78DFF24754A5}
GUID / CLSID not found {89EE75FD-A270-40F3-9ECC-697E2B30A72B}
GUID / CLSID not found {8BDB015D-E913-41B7-B664-DC62D648AA51}
GUID / CLSID not found {8FAA2F89-CA9B-4953-92C9-3BD60B72776F}
GUID / CLSID not found {8fed5ebc-8cd4-441f-91b7-8c25179bc670}
GUID / CLSID not found {94B590DF-35E1-49C5-8EB5-95B138ACEEB4}
GUID / CLSID not found {99658FCE-F188-43BE-B47B-B9E8BDDC461C}
GUID / CLSID not found {9f3b561f-37bd-4555-aabe-a3e6011c0f06}
GUID / CLSID not found {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26}
GUID / CLSID not found {A24516C0-840E-43FC-82BC-EE006C9DE699}
GUID / CLSID not found {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814}
GUID / CLSID not found {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c}
GUID / CLSID not found {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11}
GUID / CLSID not found {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8}
GUID / CLSID not found {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3}
GUID / CLSID not found {D83A984F-325C-4FD1-83BD-61A92D694DBC}
GUID / CLSID not found {e074f63e-6109-4a69-80d1-04f06f5fd28a}
GUID / CLSID not found {e4d4565d-d938-49f3-aca2-f4c2d7e89546}
c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll {AE7CD045-E861-484f-8273-0445EE161910}
- c:\winxp\system32\awtuutlc.dll {9EC58C69-3FC0-43A6-BC75-813391DBE293}
c:\winxp\system32\byxqromn.dll {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0}
- c:\winxp\system32\ddccvnoe.dll {EF6C251D-7E36-422F-A89B-80C4619E5EC7}
c:\winxp\system32\efcctuli.dll {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0}
* c:\programme\google\googletoolbarnotifier\2.1.1119.1736\swg.dll (Google Inc.) {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
- c:\winxp\system32\iifecaxq.dll {FC8EB5F6-C25F-4975-8254-5677CEB62F4F}
c:\winxp\system32\kdvevs.dll {78ee0128-70eb-4af9-ae23-778ece54976b}
* c:\winxp\system32\ieconfig_1und1.dll (mquadr.at software engineering und consulting GmbH) {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341}
- c:\winxp\system32\qomcabxv.dll {38BA9558-E89A-4B12-904B-09C723ADE336}
* c:\programme\spybot - search & destroy\sdhelper.dll (Safer Networking Limited) {53707962-6F74-2D53-2644-206D7942484F}
- c:\winxp\system32\tuvulfuk.dll {AC85C27E-F74C-480D-9CB0-2A359F96C094}
- c:\winxp\system32\wvunohya.dll {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE}
- c:\winxp\system32\yayywopn.dll {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
c:\programme\adobe\acrobat 6.0\acrobat elements\contextmenu.dll (Adobe Systems Inc.) {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
c:\winxp\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
c:\winxp\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
c:\nokia\pc suite\nokia pc suite 6\phonebrowser.dll (Nokia) {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}
c:\winxp\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
---------------------------------------------------------------------
C:\WINXP\system32\efcctuli.dll
-

068 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
--------------------------------------------------------------------------------
C:\WINXP\system32\nvappfilter.dll (NVIDIA)
C:\WINXP\system32\nvappfilter.dll (NVIDIA)
C:\WINXP\system32\nvappfilter.dll (NVIDIA)
C:\WINXP\system32\nvappfilter.dll (NVIDIA)

069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
--------------------------------------------------------
c:\winxp\system32\adobepdf.dll (Adobe Systems Incorporated.)
C:\WINXP\system32\uigmxmon.dll (GMX GmbH)
C:\WINXP\system32\mdimon.dll (Microsoft Corporation)
C:\WINXP\system32\opprmon.dll (Oki Data Corporation)

070 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
---------------------------------------------------------------------
c:\winxp\system32\byxqromn.dll

100 Internet Explorer settings
------------------------------
SearchUrl HKCU : http://sedoparking.com/domparking.php?id=827484&q=%s
Start Page HKCU : http://go.1und1.de/links/home

102 HKLM - HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
------------------------------------------------------------------
c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll {182EC0BE-5110-49C8-A062-BEB1D02A220B}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
------------------------------------------------------------------------
{e1e545d0-8a66-11dc-a08c-806d6172696f} : J:\setupSNK.exe

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
c:\programme\adobe\acrobat 6.0\acrobat elements\contextmenu.dll (Adobe Systems Inc.) {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
c:\programme\adobe\acrobat 6.0\acrobat elements\contextmenu.dll (Adobe Systems Inc.) {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
c:\winxp\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

sambal 19.07.2008 16:30
War das so richtig? Bin mir nicht ganz sicher!

Ich versuche es auch gerne nochmal !

nochdigger 19.07.2008 18:44
Hallo

Zitat:
War das so richtig? Bin mir nicht ganz sicher!
:daumenhoc genau so

Dieser Eintrag macht mir etwas sorgenhttp://www.coolrom.com/forums/images...es/shocked.gif
Zitat:
002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
...
c:\winxp\system32\syshost.exe
entfernen wir den Eintrag mal.
Starte Runscanner und führe einen doppelklick (makieren) auf den o.g. Eintrag aus, dann wechsel in die Ansicht "Item fixer" und klicke auf "Fix select Items" bestätige mit "OK" --> beende Runscanner.

Lass Malwarebytes erneut laufen und alles löschen was gefunden wird.

Scanne dein System außerdem mit Blaclkight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Poste die Logs und berichte bitte mal.

MFG

sambal 19.07.2008 19:06
Hallo,
soll ich die Logs wieder so posten wie zuletzt? Nach F-Secure soll ich aber noch Nix löschen, oder? Was genau soll ich berichten? Also bislang googelt Google noch nicht wieder ...

Viele Grüße

nochdigger 19.07.2008 19:10
Hallo

Zitat:
soll ich die Logs wieder so posten wie zuletzt?
Jupp
Malwarebytes löschen lassen --> Log posten
Blacklight scannen --> Log posten
;)

Zitat:
Also bislang googelt Google noch nicht wieder ...
Sollte sich bald bessern

MFG

sambal 19.07.2008 19:12
Zitat:
Zitat von nochdigger (Beitrag 355699)
Hallo


Jupp
Malwarebytes löschen lassen --> Log posten
Blacklight scannen --> Log posten
;)


Sollte sich bald bessern

MFG
Code:
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 967
Windows 5.1.2600 Service Pack 2

19:59:55 19.07.2008
mbam-log-7-19-2008 (19-59-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47750
Laufzeit: 2 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINXP\system32\rgfkfbry.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINXP\system32\uxemcgfa.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\{3c4727c2-bf3f-48f0-9670-33d72e2ed5c0} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3c4727c2-bf3f-48f0-9670-33d72e2ed5c0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\{587c4de2-ed1f-497b-a0a1-024d336bb19b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{587c4de2-ed1f-497b-a0a1-024d336bb19b} (Trojan.Vundo) -> Quarantined and deleted

successfully.
HKEY_CLASSES_ROOT\CLSID\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper

Objects\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcctuli (Trojan.Vundo) -> Delete

on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9cdbde2b (Trojan.Vundo) -> Quarantined and

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm9fe8edb7 (Trojan.Vundo) -> Quarantined and

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bf0ca4fc-6378-4062-b546-

3cde8a28b1e0} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data:

c:\winxp\system32\byxqromn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data:

c:\winxp\system32\byxqromn  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\nmorqXyb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\nmorqXyb.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\oxxrdj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\ekhadtip.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\pitdahke.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\kukyxbhw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\whbxykuk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\otkshhyp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\pyhhskto.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\pbmbqftl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\ltfqbmbp.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\rgfkfbry.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\yrbfkfgr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\rtqmmmig.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\gimmmqtr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\txcctayk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\kyatccxt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\usyoyjul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\lujyoysu.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\uxemcgfa.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\tatkgjnw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\ealtammu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\sxtupyul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\unvscpkv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\knbaivva.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\jdccssse.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\wfxieqfg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINXP\BM9fe8edb7.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\BM9fe8edb7.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

sambal 19.07.2008 19:15
Zitat:
Zitat von nochdigger (Beitrag 355689)
Hallo


:daumenhoc genau so

Dieser Eintrag macht mir etwas sorgenhttp://www.coolrom.com/forums/images...es/shocked.gif

entfernen wir den Eintrag mal.
Starte Runscanner und führe einen doppelklick (makieren) auf den o.g. Eintrag aus, dann wechsel in die Ansicht "Item fixer" und klicke auf "Fix select Items" bestätige mit "OK" --> beende Runscanner.

Lass Malwarebytes erneut laufen und alles löschen was gefunden wird.

Scanne dein System außerdem mit Blaclkight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Poste die Logs und berichte bitte mal.

MFG
Code:
07/19/08 20:01:01 [Info]: BlackLight Engine 1.0.70 initialized
07/19/08 20:01:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/19/08 20:01:01 [Note]: 7019 4
07/19/08 20:01:01 [Note]: 7005 0
07/19/08 20:01:05 [Note]: 7006 0
07/19/08 20:01:05 [Note]: 7011 2012
07/19/08 20:01:05 [Note]: 7035 0
07/19/08 20:01:05 [Note]: 7026 0
07/19/08 20:01:05 [Note]: 7026 0
07/19/08 20:01:07 [Note]: FSRAW library version 1.7.1024
07/19/08 20:14:12 [Note]: 7007 0

nochdigger 19.07.2008 19:33
Hallo

führe bitte eine Säuberung mit dem Ccleaner durch.


Hast du einen Neustart durchgeführt?

Was macht die Googlesucherei?


Erstelle nach dem Neustart bitte ein frisches Hijackthis Log.

Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

sambal 19.07.2008 19:45
Zitat:
Zitat von nochdigger (Beitrag 355708)
Hallo

führe bitte eine Säuberung mit dem Ccleaner durch.


Hast du einen Neustart durchgeführt?

Was macht die Googlesucherei?


Erstelle nach dem Neustart bitte ein frisches Hijackthis Log.

Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:01, on 19.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\winadm.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINXP\emMON.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\1&1\IGDCTRL.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://sedoparking.com/domparking.php?id=827484&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
O2 - BHO: (no name) - {39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
O2 - BHO: (no name) - {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
O2 - BHO: (no name) - {9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINXP\system32\ieconfig_1und1.dll
O2 - BHO: (no name) - {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
O2 - BHO: (no name) - {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [_winadm] C:\WINXP\system32\winadm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\hreyhlfm.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: movie - XL.lnk = C:\Programme\movie - XL\StartJP.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&1\IGDCTRL.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 14835 bytes

sambal 19.07.2008 19:55
Zitat:
Zitat von nochdigger (Beitrag 355708)
Hallo

führe bitte eine Säuberung mit dem Ccleaner durch.


Hast du einen Neustart durchgeführt?

Was macht die Googlesucherei?


Erstelle nach dem Neustart bitte ein frisches Hijackthis Log.

Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG
Code:
Verzeichnis von C:\

19.07.2008  20:26    2.145.386.496 pagefile.sys
19.07.2008  16:27              404 desktop.ini
19.07.2008  16:27            12.443 AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Large.jpg
19.07.2008  16:27            12.443 Folder.jpg
19.07.2008  16:27            2.757 AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Small.jpg
19.07.2008  16:27            2.757 AlbumArtSmall.jpg
18.07.2008  18:53              168 setupfax.log
22.06.2008  13:24              177 Systemwiederherstellung.txt
07.06.2008  20:24            3.853 LGSInst.Log

Verzeichnis von C:\WINXP\system32

19.07.2008  20:44                0 nmp.log
19.07.2008  20:25          457.560 nmorqXyb.ini
19.07.2008  20:24          457.560 nmorqXyb.ini2
19.07.2008  18:55            78.336 rgfkfbry.dll
19.07.2008  18:55            91.136 uxemcgfa.dll
19.07.2008  18:54                0 97f81a55-.txt
18.07.2008  21:33            6.944 jupdate-1.6.0_07-b06.log
18.07.2008  18:54          102.912 khlxqlte.dll
18.07.2008  18:54          102.912 kdvevs.dll
18.07.2008  18:52            91.648 hreyhlfm.dll
17.07.2008  04:35          102.400 cvjvulwj.dll
17.07.2008  04:35          102.400 fmhgwo.dll
17.07.2008  04:35            91.648 lsobndlf.dll
16.07.2008  18:17        1.405.026 mpmvyuco.ini
16.07.2008  16:33          700.658 nuaalxhr.ini
16.07.2008  16:29                86 Mswinmask32.dll
16.07.2008  04:36          103.936 cjxcza.dll
16.07.2008  04:36          103.936 qaqhdbsy.dll
16.07.2008  04:33            92.160 spwibqfb.dll
16.07.2008  04:33          318.976 byXqromn.dll
16.07.2008  04:23          457.615 eOnVCcdd.ini
16.07.2008  04:23          457.615 eOnVCcdd.ini2
15.07.2008  18:19          103.936 qtcqsdme.dll
15.07.2008  18:19          103.936 xckqnt.dll
15.07.2008  18:19            92.160 pnasofny.dll
14.07.2008  16:56          102.400 exkgpfvo.dll
14.07.2008  16:56          102.400 xqduhe.dll
14.07.2008  16:51        1.841.030 vllxlems.ini
14.07.2008  16:51              143 mcrh.tmp
13.07.2008  15:11          103.424 okxcfndg.dll
13.07.2008  15:11          103.424 ioiicu.dll
13.07.2008  14:04        1.878.829 midswdqm.ini
13.07.2008  13:39          474.685 QXacefii.ini
13.07.2008  13:37          474.274 QXacefii.ini2
13.07.2008  13:19          103.424 xjrsoncc.dll
13.07.2008  13:19          103.424 zklpyc.dll
13.07.2008  13:10          457.585 RYacLRqr.ini
13.07.2008  13:07          457.585 RYacLRqr.ini2
12.07.2008  20:21          103.424 rkwxal.dll
12.07.2008  20:21          103.424 oilxhpqe.dll
12.07.2008  20:21            91.648 qnuxjuau.dll
11.07.2008  20:23          103.424 firjepmm.dll
11.07.2008  20:23          103.424 wkodgb.dll
11.07.2008  19:20          103.424 celvmy.dll
11.07.2008  19:20          103.424 tavopron.dll
09.07.2008  21:09          102.912 ntsgdh.dll
09.07.2008  21:09          102.912 embyffgm.dll
09.07.2008  21:06            91.136 irttvowi.dll
09.07.2008  17:20        1.852.844 vwnhsebc.ini
09.07.2008  17:19            2.206 wpa.dbl
08.07.2008  20:05        1.852.724 xafpebli.ini
07.07.2008  22:06        1.806.744 iclqmryy.ini
07.07.2008  19:59          103.424 uvcuurxq.dll
07.07.2008  19:59          103.424 kbljlr.dll
07.07.2008  19:54        1.805.131 kcnqkfdq.ini
06.07.2008  16:26        1.694.227 qvhxqequ.ini
04.07.2008  15:37        1.699.388 hdbuynhn.ini
03.07.2008  19:50        1.699.268 deilnuen.ini
03.07.2008  19:10        1.714.800 mrinhfxr.ini
02.07.2008  17:29        1.714.058 feljtevh.ini
01.07.2008  01:10          459.134 ayHOnUvw.ini
01.07.2008  01:10          459.134 ayHOnUvw.ini2
30.06.2008  21:29        1.733.340 aoiwtdiw.ini
29.06.2008  23:40          466.525 cLTuutwa.ini
29.06.2008  23:39          466.525 cLTuutwa.ini2
29.06.2008  16:44          458.332 VxbacMoq.ini
29.06.2008  16:42          458.332 VxbacMoq.ini2
29.06.2008  16:29        1.733.460 rpihnuhr.ini
29.06.2008  16:23        1.733.400 smmjgkeh.ini
29.06.2008  15:53          458.079 kUFLUvut.ini
29.06.2008  15:53          458.079 kUFLUvut.ini2
29.06.2008  14:05        1.733.400 nghvqtun.ini
29.06.2008  00:07            33.280 efcCtUlI.dll
27.06.2008  16:38          400.464 perfh009.dat
27.06.2008  16:38            60.624 perfc009.dat
27.06.2008  16:38          414.766 perfh007.dat
27.06.2008  16:38            73.508 perfc007.dat
27.06.2008  16:38          961.472 PerfStringBackup.INI
22.06.2008  16:36        1.008.768 ieconfig_1und1.dll
11.06.2008  21:34                16 coh.cache

Verzeichnis von C:\WINXP

19.07.2008  20:46              350 WindowsUpdate.log
19.07.2008  20:27                50 wiaservc.log
19.07.2008  20:27              157 wiadebug.log
19.07.2008  20:26            2.048 bootstat.dat
19.07.2008  20:25            32.632 SchedLgU.Txt
19.07.2008  20:24            3.509 BM9fe8edb7.txt
19.07.2008  20:06                0 BM9fe8edb7.xml
19.07.2008  18:55                22 pskt.ini
18.07.2008  18:56              438 lexstat.ini
18.07.2008  18:48                92 dellstat.ini
18.07.2008  17:02              114 tdf.dii
18.07.2008  17:02            3.275 tm.ini
15.07.2008  19:49              765 wininit.ini
12.07.2008  22:18                69 NeroDigital.ini
28.06.2008  09:43                34 cdplayer.ini
07.03.2008  21:33            7.680 Thumbs.db

Verzeichnis von C:\WINXP\Prefetch

19.07.2008  20:46            11.638 FIND.EXE-306D7099.pf
19.07.2008  20:46            11.462 CMD.EXE-2AAB9DAB.pf
19.07.2008  20:45            21.756 NOTEPAD.EXE-0815DEA3.pf
19.07.2008  20:45            19.516 HIJACKTHIS.EXE-1CB4CC24.pf
19.07.2008  20:44            57.446 WMIPRVSE.EXE-2F9046ED.pf
19.07.2008  20:44          110.856 FIREFOX.EXE-1D57670A.pf
19.07.2008  20:44            24.648 REGSVR16.EXE-334EA3E7.pf
19.07.2008  20:42            17.172 CCLEANER.EXE-065E2F3F.pf
19.07.2008  20:41            23.138 CCSETUP209.EXE-10C90978.pf
19.07.2008  20:28            14.622 SVCHOST.EXE-064839DA.pf
19.07.2008  20:27            16.556 ALG.EXE-069F9A25.pf
19.07.2008  20:27            70.908 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
19.07.2008  20:27            17.936 NSVCLOG.EXE-3AFF1CEB.pf
19.07.2008  20:27            21.224 NSVCIP.EXE-24A298DC.pf
19.07.2008  20:27            23.462 IGDCTRL.EXE-0A3A79FA.pf
19.07.2008  20:27            12.812 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
19.07.2008  20:27            31.990 APACHE.EXE-12A41257.pf
19.07.2008  20:27            17.634 WLANNETSERVICE.EXE-2A83BAF2.pf
19.07.2008  20:27            9.004 CRYPSERV.EXE-37F546C6.pf
19.07.2008  20:27          805.742 NTOSBOOT-B00DFAAD.pf
19.07.2008  20:27            12.130 AAVUS.EXE-279C8C77.pf
19.07.2008  20:25            7.078 NCLINSTALLER.EXE-29B54FA6.pf
19.07.2008  20:25            18.980 LOGONUI.EXE-308706F5.pf
19.07.2008  20:24            33.482 WINADM.EXE-10C73548.pf
19.07.2008  20:01            19.930 FSBL.EXE-23DF885B.pf
19.07.2008  20:00            59.952 WINADMD.EXE-0E34F41B.pf
19.07.2008  19:59            15.366 REGEDIT.EXE-3B104B33.pf
19.07.2008  19:56            46.836 MBAM.EXE-11D8BBD8.pf
19.07.2008  19:56            7.670 MBAMTRAYCTRL.EXE-2AFAD734.pf
19.07.2008  19:54            48.696 RUNSCANNER.EXE-354B7DF7.pf
19.07.2008  19:52            75.166 TRILLIAN.EXE-01985CD0.pf
19.07.2008  19:32            70.286 USENEXT.EXE-1681815B.pf
19.07.2008  19:24            25.816 RUNDLL32.EXE-28EA81F5.pf
19.07.2008  19:16            63.070 LEGOINDY.EXE-09CF54E9.pf
19.07.2008  18:58            22.250 RUNDLL32.EXE-1F2A740E.pf
19.07.2008  18:58            45.754 DRWTSN32.EXE-30BBC28E.pf
19.07.2008  18:55            17.296 RUNDLL32.EXE-39A40C6C.pf
19.07.2008  18:55            14.842 RUNDLL32.EXE-27968050.pf
19.07.2008  18:53            47.350 DWWIN.EXE-2B5302A0.pf
19.07.2008  18:53            15.310 RUNDLL32.EXE-12A9C946.pf
19.07.2008  18:25            64.728 HELPSVC.EXE-09BE1947.pf
19.07.2008  18:24          405.856 Layout.ini
19.07.2008  17:35            25.674 ACDSEEQV.EXE-05193191.pf
19.07.2008  17:16            25.512 WINRAR.EXE-3588DFE8.pf
19.07.2008  17:16            21.060 VERCLSID.EXE-1C385444.pf
19.07.2008  17:13            18.144 REGSVR32.EXE-2CB1139E.pf
19.07.2008  17:13            21.868 MBAM-SETUP.TMP-0F404443.pf
19.07.2008  17:13            16.044 MBAM-SETUP.EXE-2DE2E10F.pf
19.07.2008  16:38            30.392 GOOGLEUPDATER.EXE-36CE3796.pf
19.07.2008  16:34            22.284 MP3DIRECTCUT.EXE-35F8F670.pf
19.07.2008  16:33            70.014 WMPLAYER.EXE-09969338.pf
19.07.2008  16:33            13.624 REGSVR16.EXE-334EA3ED.pf
19.07.2008  16:33            26.454 ACRORD32INFO.EXE-30CEC19C.pf
19.07.2008  16:11            60.378 WMPLAYER.EXE-0996933A.pf
19.07.2008  16:11            13.722 REGSVR16.EXE-334EA3EF.pf
19.07.2008  16:10            68.482 SKYPEPM.EXE-03F1BFBD.pf
19.07.2008  16:10            62.452 SKYPE.EXE-2835B26D.pf
19.07.2008  15:09            17.934 IMAPI.EXE-20F8CDD2.pf
19.07.2008  13:09            80.702 WINWORD.EXE-3395695A.pf
19.07.2008  13:05            83.856 ACRORD32.EXE-0EC716D9.pf
19.07.2008  11:32            19.998 NOTEPAD.EXE-02406CD4.pf
18.07.2008  21:33            87.566 MSIEXEC.EXE-0BEEA39E.pf
18.07.2008  19:49            26.316 TASKMGR.EXE-2D2BCF51.pf
18.07.2008  19:48          117.934 VLC.EXE-29851A71.pf
18.07.2008  19:33            20.166 RUNDLL32.EXE-3FAF52DE.pf
13.07.2008  20:38            78.260 LUCOMS~1.EXE-02DB5950.pf
13.07.2008  20:27            47.754 LUALL.EXE-0DE1F33B.pf
13.07.2008  20:27            79.190 LUCALLBACKPROXY.EXE-0B5F632D.pf
17.11.2007  15:02            60.018 UPDATE.EXE-0AB5FE41.pf

 Verzeichnis von C:\WINXP\tasks

19.07.2008  20:26                6 SA.DAT
23.08.2001  14:00                65 desktop.ini

Verzeichnis von C:\WINXP\temp

19.07.2008  20:27            40.960 rtdrvmon.exe
              1 Datei(en)        40.960 Bytes

Verzeichnis von C:\DOKUME~1\husch\LOKALE~1\Temp

19.07.2008  20:46          131.852 filelist.txt
19.07.2008  20:44          114.688 ~DF4802.tmp
19.07.2008  20:26            16.384 ~DF98E2.tmp
19.07.2008  20:26            16.384 ~DF34E7.tmp
19.07.2008  20:24            22.371 b300x100.tmp
19.07.2008  20:24            22.371 b250x250.tmp
19.07.2008  20:24            22.371 b240x400.tmp
19.07.2008  20:24            22.371 b300x250.tmp
19.07.2008  20:24            22.371 b336x280.tmp
19.07.2008  20:24            22.371 b125x125.tmp
19.07.2008  20:24            22.371 b120x90.tmp
19.07.2008  20:24            22.371 b720x300.tmp
19.07.2008  20:24            22.371 b468x60.tmp
19.07.2008  20:24            22.371 b180x150.tmp
19.07.2008  20:15            22.371 b234x60.tmp
19.07.2008  20:00            16.384 ~DFB987.tmp
19.07.2008  19:56            16.384 ~DFC087.tmp
19.07.2008  19:52            16.384 ~DFD317.tmp
19.07.2008  18:58            16.384 ~DFEB44.tmp
19.07.2008  17:24            22.371 b160x600.tmp
19.07.2008  17:21            22.371 b728x90.tmp
19.07.2008  17:07            22.371 b120x600.tmp
19.07.2008  17:05            22.371 b120x240.tmp
19.07.2008  16:33            1.384 wmplog05.sqm
19.07.2008  16:32            1.492 wmplog04.sqm
19.07.2008  16:30            1.384 wmplog03.sqm
19.07.2008  16:29            1.456 wmplog02.sqm
19.07.2008  16:26            1.384 wmplog01.sqm
19.07.2008  16:19            1.448 wmplog00.sqm
19.07.2008  15:13              916 java_install_reg.log
19.07.2008  15:12              495 jusched.log
19.07.2008  15:07            16.384 ~DF3EA1.tmp
18.07.2008  21:33            1.139 java_install_sp.log
18.07.2008  21:33                0 java_install.log
18.07.2008  21:32            9.594 jinstall.cfg
18.07.2008  20:45            16.384 ~DF87D7.tmp
18.07.2008  20:45            16.384 ~DF25A.tmp
18.07.2008  19:30            16.384 ~DF9C11.tmp
18.07.2008  19:30            16.384 ~DF52A9.tmp
18.07.2008  19:28            40.960 rtdrvmon.exe
18.07.2008  17:00            16.384 ~DF3ABD.tmp
18.07.2008  15:23            16.384 ~DF2903.tmp
17.07.2008  16:34            16.384 ~DF92C0.tmp
17.07.2008  16:34            16.384 ~DFFAA2.tmp
16.07.2008  18:48            9.312 BCG68.tmp
16.07.2008  18:20            9.312 BCG39.tmp
16.07.2008  18:19            16.384 ~DF22C5.tmp
16.07.2008  17:40            16.384 ~DF26F1.tmp
16.07.2008  17:32            6.144 NER68.tmp
16.07.2008  17:32            4.096 BCG66.tmp
16.07.2008  17:23            4.096 BCG51.tmp
16.07.2008  16:38            16.384 ~DF5894.tmp
16.07.2008  16:29            16.384 ~DFB199.tmp
16.07.2008  16:29            16.384 ~DF3799.tmp
16.07.2008  16:28            16.384 ~DF4F58.tmp
16.07.2008  04:31            16.384 ~DF8CCB.tmp
16.07.2008  04:31            16.384 ~DF98ED.tmp
15.07.2008  22:25        10.844.896 fla190.tmp
15.07.2008  18:24            16.384 Perflib_Perfdata_7e8.dat
15.07.2008  18:16            16.384 ~DF2A54.tmp
15.07.2008  18:16            16.384 ~DF5D94.tmp
15.07.2008  13:10            16.384 ~DF8ACF.tmp
15.07.2008  13:10            16.384 ~DF64EA.tmp
14.07.2008  20:03            16.384 ~DF4F5.tmp
14.07.2008  16:35            16.384 ~DF75D9.tmp
13.07.2008  20:47            16.384 ~DF9EE9.tmp
13.07.2008  20:47            16.384 ~DF231B.tmp
13.07.2008  20:42            16.384 ~DF54DC.tmp
13.07.2008  20:42            16.384 ~DF4CD.tmp
13.07.2008  20:41            49.050 d66_appcompat.txt
13.07.2008  20:40        22.097.492 SymNRT 7-13-2008 20h38m6s.log
13.07.2008  20:38          181.775 Sym150.tmp
13.07.2008  14:04            16.384 ~DFF80A.tmp
13.07.2008  14:03            16.384 ~DF3E6E.tmp
13.07.2008  14:02            16.384 ~DF6D9D.tmp
13.07.2008  14:02            16.384 ~DF6702.tmp
13.07.2008  13:11            22.253 Turkish.bin
13.07.2008  13:11            21.964 Norwegian.bin
13.07.2008  13:11            26.080 Hungarian.bin
13.07.2008  13:11            19.553 Hebrew.bin
13.07.2008  13:11            25.071 Portuguese(Brazil).bin
13.07.2008  13:11            24.312 Czech.bin
13.07.2008  13:11            24.221 Polish.bin
13.07.2008  13:11            22.857 Finnish.bin
13.07.2008  13:11            25.082 Greek.bin
13.07.2008  13:11            21.976 Thai.bin
13.07.2008  13:11            20.972 Arabic.bin
13.07.2008  13:11            16.408 SimChin.bin
13.07.2008  13:11            21.914 English.bin
13.07.2008  13:11            26.260 Portuguese.bin
13.07.2008  13:11            16.384 ~DFE48C.tmp
13.07.2008  13:11            24.082 SWEDISH.bin
13.07.2008  13:11            27.753 Spanish.bin
13.07.2008  13:11            27.410 Italian.bin
13.07.2008  13:11            26.126 Russian.bin
13.07.2008  13:11            25.747 Dutch.bin
13.07.2008  13:11            27.235 French.bin
13.07.2008  13:11            16.949 TradChin.bin
13.07.2008  13:11            25.753 German.bin
13.07.2008  13:11            22.783 Danish.bin
13.07.2008  13:11            20.135 Korean.bin
13.07.2008  13:11            24.297 Japanese.bin
13.07.2008  13:11            16.384 ~DF2BD8.tmp
20.06.2008  17:17          686.156 20062008095.jpg
11.06.2008  21:27          309.582 Norton Setup 1,0,0 6-11-2008 21h24m38s.log
11.06.2008  21:26        8.542.150 Norton 360 Online 6-11-2008 21h24m40s.log

sambal 19.07.2008 20:02
Hi,
also, habe alles so gemacht wie gewünscht. Neustart hatte ich durchgeführt und es scheint auch alles wieder zu funktionieren ... Du bist der / Ihr seid die Größte(n) !!!

Ich weiß nicht, ob der "Fall" damit abgeschlossen ist. Aber mal davon ausgehend hätte ich schon noch paar kurze Fragen:

1. Kannst Du sagen, wo ich mir die Scheiße eingefangen habe?? Angefangen hat eigentlich alles, nachdem ich Spybot und Norton360 installiert hatte! Spybot kann ich auch jetzt noch nicht ausführen, dass meldet sich 1 Mio. mal pro Minute! Norton hab ich wieder abbestellt (1&1) und deinstalliert, zumindest was meine Kenntnis angeht!
2. Kannst Du mir Tipps geben, wie ich mich zukünftig am besten und Sichersten schütze?! Ich kann 100 Leute fragen und bekomme dann 100 verschiedene Antworten! Da Du Dich aber anscheinend "ein wenig" auskennst ...
3. Woher nimmst Du die Motivation, Deine Freizeit für solche ahnungslosen Hobby-Piloten wie mich zu "verschwenden"?!?!

ICH DANKE OHNE ENDE!!! (...und hoffe, dass ich nicht so schnell wieder anfragen muss...)

Beste Grüße und einen schönen Sonntag!

Der Sambal

nochdigger 20.07.2008 05:38
Moin

Zitat:
habe alles so gemacht wie gewünscht. Neustart hatte ich durchgeführt und es scheint auch alles wieder zu funktionieren ...
das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen:heulen:)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte Hijackthis mit der Option - Scan - und hake diese Einträge an
Zitat:
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
O2 - BHO: (no name) - {39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
O2 - BHO: (no name) - {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: (no name) - {78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
O2 - BHO: (no name) - {9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: (no name) - {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
O2 - BHO: (no name) - {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\hreyhlfm.dll",s
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\
klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück

sambal 20.07.2008 09:18
Zitat:
Zitat von nochdigger (Beitrag 355788)
Moin


das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen:heulen:)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte Hijackthis mit der Option - Scan - und hake diese Einträge an

klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
Code:
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 969
Windows 5.1.2600 Service Pack 2

10:13:15 20.07.2008
mbam-log-7-20-2008 (10-13-07).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47105
Laufzeit: 2 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nmorqXyb.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nmorqXyb.ini2 (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\BM9fe8edb7.xml (Trojan.Vundo) -> No action taken.
C:\WINXP\BM9fe8edb7.txt (Trojan.Vundo) -> No action taken.

sambal 20.07.2008 09:20
Zitat:
Zitat von nochdigger (Beitrag 355788)
Moin


das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen:heulen:)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte Hijackthis mit der Option - Scan - und hake diese Einträge an

klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
Code:
    Dateiname :            rtdrvmon.exe
    Größe :          40960 byte
    Typ :          MS-DOS executable (EXE), OS/2 or MS Windows
    MD5 :          945d09c0925f771f907dee3d0452ecf4
    SHA1 :          ff415844573771abfe90ee7b5639ac033b319df3

Scan Ergebnis
    Scan Ergebnis :          3% der Scanner (1/36) haben Malware gefunden!
    Scanner ↓        Engine Ver        Sig Ver        Sig Datum        Scan Ergebnis        Zeit
    a-squared        3.0.0.126        2007.12.28        2007-12-28       
    -
            3.719
    AhnLab V3        2007.12.29.01        2007.12.29        2007-12-29       
    -
            4.671
    AntiVir        7.6.0.46        7.0.1.177        2007-12-30       
    -
            0.000
    Arcavir        1.0.4        200712300951        2007-12-30       
    -
            24.462
    AVAST!        1.0.8        071230-0        2007-12-30       
    -
            36.561
    AVG        7.5.49.442        269.17.12/1203        2007-12-30       
    -
            32.101
    BitDefender        7.60825.962776        7.16596        2007-12-31       
    -
            0.000
    CA (VET)        9.0.0.143        31.3.5412        2007-12-29       
    -
            10.698
    ClamAV        0.91.2        5298        2007-12-31       
    -
            0.187
    Comodo        2.11        2.0.0.389        2007-12-30       
    -
            5.621
    CP Secure        1.1.0.655        2007.12.30        2007-12-30       
    -
            87.064
    Dr.Web        4.44.0.9170        2007.12.30        2007-12-30       
    -
            60.288
    ewido        4.0.0.2        2007.12.30        2007-12-30       
    -
            6.606
    F-Prot        4.4.1.52        20071229        2007-12-29       
    -
            29.592
    F-Secure        5.51.6100        2007.12.28.04        2007-12-28       
    -
            51.433
    Fortinet        2.81-3.11        8.449        2007-12-03       
    -
            1.851
    Ikarus        T3.1.01.15        2007.12.30.70071        2007-12-30       
    -
            6.174
    JiangMin        10.00.650        2007.12.28        2007-12-28       
    -
            4.981
    Kaspersky        5.5.10        2007.12.30        2007-12-30       
    -
            86.928
    KingSoft        2007.6.20.249        2007.12.30        2007-12-30       
    -
            4.622
    McAfee        5.2.00        5195        2007-12-28       
    -
            22.744
    mks_vir        2.01        2007.12.30        2007-12-30       
    -
            0.000
    NOD32        2.70.10        2757        2007-12-30       
    -
            0.010
    Norman        5.91.08        5.90        2007-12-27       
    -
            65.903
    nProtect        2007-12-30.00        1106902        2007-12-30       
    -
            8.834
    Panda        9.04.03.0001        2007.12.30        2007-12-30       
    -
            5.883
    Prevx        V2        20071231        2007-12-31       
    TROJAN.DOWNLOADER.GEN
            7.660
    Quick Heal        9.00        2007.12.29        2007-12-29       
    -
            7.338
    Rising        19.0        20.24.52.00        2007-12-29       
    -
            5.831
    Sophos        2.49.1        4.21        2007-12-30       
    -
            0.000
    Symantec        1.3.0.24        20071230.003        2007-12-30       
    -
            0.055
    The Hacker        6.2.9        v00175        2007-12-29       
    -
            5.412
    Trend Micro        8.500-1001        4.920.21        2007-12-30       
    -
            0.053
    VBA32        3.12.2.5        20071229.2021        2007-12-29       
    -
            18.198
    ViRobot        20071228        2007.12.28        2007-12-28       
    -
            5.227
    VirusBuster        4.3.19:9        9.118.10/11.0        2007-12-30       
    -
            22.259

sambal 20.07.2008 11:32
Zitat:
Zitat von nochdigger (Beitrag 355788)
Moin


das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen:heulen:)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte Hijackthis mit der Option - Scan - und hake diese Einträge an

klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
Code:
    rtdrvmon.exe
    Größe :          40960 byte
    Typ :          PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    MD5 :          945d09c0925f771f907dee3d0452ecf4
    SHA1 :          ff415844573771abfe90ee7b5639ac033b319df3

Scan Ergebnis
    Scan Ergebnis :          Es wurde keine Infektion ermittelt!
    Zeit :          2008/07/20 12:29:01 (CEST)
    Scanner ↓        Engine Ver        Sig Ver        Sig Datum        Scan Ergebnis        Zeit
    a-squared        3.5.0.22        2008.07.19        2008-07-19       
    -
            2.367
    AhnLab V3        2008.07.19.00        2008.07.19        2008-07-19       
    -
            0.846
    AntiVir        7.8.1.11        7.0.5.139        2008-07-19       
    -
            2.068
    Arcavir        1.0.4        200807151947        2008-07-15       
    -
            1.179
    AVAST!        3.0.1        080720-0        2008-07-20       
    -
            0.638
    AVG        7.5.51.442        270.5.2/1562        2008-07-19       
    -
            1.494
    BitDefender        7.60825.1382179        7.20099        2008-07-20       
    -
            2.561
    CA (VET)        9.0.0.143        31.6.5966        2008-07-18       
    -
            0.681
    ClamAV        0.93.3        7760        2008-07-20       
    -
            0.017
    Comodo        2.11        2.0.0.591        2008-07-20       
    -
            0.418
    CP Secure        1.1.0.715        2008.07.20        2008-07-20       
    -
            5.876
    Dr.Web        4.44.0.9170        2008.07.20        2008-07-20       
    -
            2.974
    ewido        4.0.0.2        2008.07.20        2008-07-20       
    -
            2.327
    F-Prot        4.4.4.56        20080719        2008-07-19       
    -
            0.960
    F-Secure        5.51.6100        2008.07.19.01        2008-07-19       
    -
            2.733
    Fortinet        2.81-3.11        0.0        2008-07-20       
    -
            0.153
    Ikarus        T3.1.01.34        2008.07.20.71125        2008-07-20       
    -
            3.221
    JiangMin        11.0.706        2008.07.20        2008-07-20       
    -
            1.143
    Kaspersky        5.5.10        2008.07.20        2008-07-20       
    -
            0.047
    KingSoft        2008.1.14.15        2008.7.20.15        2008-07-20       
    -
            0.669
    McAfee        5.2.00        5342        2008-07-18       
    -
            2.027
    Microsoft        1.3704        2008.07.20        2008-07-20       
    -
            4.484
    mks_vir        2.01        2008.07.18        2008-07-18       
    -
            2.426
    Norman        5.93.01        5.93.00        2008-07-18       
    -
            4.405
    nProtect        2008-07-18.00        1694476        2008-07-18       
    -
            3.726
    Panda        9.05.01        2008.07.19        2008-07-19       
    -
            2.635
    Quick Heal        9.50        2008.07.15        2008-07-15       
    -
            1.562
    Rising        20.0        20.53.62.00        2008-07-20       
    -
            0.785
    Sophos        2.75.4        4.31        2008-07-20       
    -
            1.896
    Sunbelt        3.1.1536.1        2156        2008-07-18       
    -
            0.698
    Symantec        1.3.0.24        20080719.005        2008-07-19       
    -
            0.051
    The Hacker        6.2.96        v00385        2008-07-19       
    -
            0.393
    Trend Micro        8.700-1004        5.418.20        2008-07-19       
    -
            0.034
    VBA32        3.12.8.1        20080719.0729        2008-07-19       
    -
            1.057
    ViRobot        20080719        2008.07.19        2008-07-19       
    -
            0.403
    VirusBuster        4.5.11.10        10.82.12/595718        2008-07-15       
    -
            0.798

sambal 20.07.2008 11:40
Hallo,

die Malwarebytes-Log war übrigens 2 Kb groß.

Den Teatimer bzw. Spybot habe ich ausgeschaltet.

Den Log der rtdrvmon habe ich gepostet. Wahrscheinlich einmal falsch und beim 2. Mal hoffentlich richtig.

Die winmask32.dll ergibt folgende Ergebnisse:
1. virscan: "ERROR: Kann Datei nicht finden"
2. virustotal: "Service Temporarily Unavailable"
3. jotti: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file".

MfG

nochdigger 20.07.2008 17:20
Hallo

machen wir mit Combofix weiter
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

sambal 20.07.2008 17:58
Zitat:
Zitat von nochdigger (Beitrag 355908)
Hallo

machen wir mit Combofix weiter
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG
Code:
ComboFix 08-07-19.1 - husch 2008-07-20 18:49:54.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1532 [GMT 2:00]
ausgeführt von:: C:\Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINXP\pskt.ini
C:\WINXP\system32\aoiwtdiw.ini
C:\WINXP\system32\ayHOnUvw.ini
C:\WINXP\system32\ayHOnUvw.ini2
C:\WINXP\system32\celvmy.dll
C:\WINXP\system32\cjxcza.dll
C:\WINXP\system32\cLTuutwa.ini
C:\WINXP\system32\cLTuutwa.ini2
C:\WINXP\system32\cvjvulwj.dll
C:\WINXP\system32\deilnuen.ini
C:\WINXP\system32\embyffgm.dll
C:\WINXP\system32\eOnVCcdd.ini
C:\WINXP\system32\eOnVCcdd.ini2
C:\WINXP\system32\exkgpfvo.dll
C:\WINXP\system32\feljtevh.ini
C:\WINXP\system32\firjepmm.dll
C:\WINXP\system32\fmhgwo.dll
C:\WINXP\system32\hdbuynhn.ini
C:\WINXP\system32\hreyhlfm.dll
C:\WINXP\system32\iclqmryy.ini
C:\WINXP\system32\ioiicu.dll
C:\WINXP\system32\irttvowi.dll
C:\WINXP\system32\kbljlr.dll
C:\WINXP\system32\kcnqkfdq.ini
C:\WINXP\system32\kdvevs.dll
C:\WINXP\system32\khlxqlte.dll
C:\WINXP\system32\kUFLUvut.ini
C:\WINXP\system32\kUFLUvut.ini2
C:\WINXP\system32\lsobndlf.dll
C:\WINXP\system32\mcrh.tmp
C:\WINXP\system32\midswdqm.ini
C:\WINXP\system32\mpmvyuco.ini
C:\WINXP\system32\mrinhfxr.ini
C:\WINXP\system32\nghvqtun.ini
C:\WINXP\system32\ntsgdh.dll
C:\WINXP\system32\nuaalxhr.ini
C:\WINXP\system32\oilxhpqe.dll
C:\WINXP\system32\okxcfndg.dll
C:\WINXP\system32\pnasofny.dll
C:\WINXP\system32\qaqhdbsy.dll
C:\WINXP\system32\qnuxjuau.dll
C:\WINXP\system32\qtcqsdme.dll
C:\WINXP\system32\qvhxqequ.ini
C:\WINXP\system32\QXacefii.ini
C:\WINXP\system32\QXacefii.ini2
C:\WINXP\system32\rgfkfbry.dll
C:\WINXP\system32\rkwxal.dll
C:\WINXP\system32\rpihnuhr.ini
C:\WINXP\system32\RYacLRqr.ini
C:\WINXP\system32\RYacLRqr.ini2
C:\WINXP\system32\smmjgkeh.ini
C:\WINXP\system32\spwibqfb.dll
C:\WINXP\system32\tavopron.dll
C:\WINXP\system32\uvcuurxq.dll
C:\WINXP\system32\uxemcgfa.dll
C:\WINXP\system32\vllxlems.ini
C:\WINXP\system32\vwnhsebc.ini
C:\WINXP\system32\VxbacMoq.ini
C:\WINXP\system32\VxbacMoq.ini2
C:\WINXP\system32\wkodgb.dll
C:\WINXP\system32\xafpebli.ini
C:\WINXP\system32\xckqnt.dll
C:\WINXP\system32\xjrsoncc.dll
C:\WINXP\system32\xqduhe.dll
C:\WINXP\system32\zklpyc.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-06-20 bis 2008-07-20  ))))))))))))))))))))))))))))))
.

2008-07-20 17:45 . 2008-07-20 18:46        110,491        --a------        C:\WINXP\BM9fe8edb7.xml
2008-07-19 20:41 . 2008-07-19 20:41        <DIR>        d--------        C:\Programme\CCleaner
2008-07-19 17:16 . 2008-07-19 17:16        <DIR>        d--------        C:\Runscanner
2008-07-19 17:13 . 2008-07-19 17:13        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-07-19 17:13 . 2008-07-19 17:13        <DIR>        d--------        C:\Dokumente und Einstellungen\husch\Anwendungsdaten\Malwarebytes
2008-07-19 17:13 . 2008-07-19 17:13        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2008-07-19 17:13 . 2008-07-18 19:15        36,472        --a------        C:\WINXP\system32\drivers\mbamswissarmy.sys
2008-07-19 17:13 . 2008-07-18 19:15        17,144        --a------        C:\WINXP\system32\drivers\mbam.sys
2008-07-19 16:27 . 2008-07-19 16:27        12,443        ---hs----        C:\AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Large.jpg
2008-07-19 16:27 . 2008-07-19 16:27        2,757        ---hs----        C:\AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Small.jpg
2008-07-19 14:39 . 2008-07-19 14:42        <DIR>        d--------        C:\Experience.112.GERMAN-ENiGMA
2008-07-18 21:36 . 2008-07-18 21:36        <DIR>        d--------        C:\WINXP\Sun
2008-07-18 21:33 . 2008-07-18 21:33        <DIR>        d--------        C:\Programme\Java
2008-07-18 21:33 . 2008-06-10 02:32        73,728        --a------        C:\WINXP\system32\javacpl.cpl
2008-07-18 21:32 . 2008-07-18 21:32        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Java
2008-07-18 19:19 . 2008-07-19 13:12        <DIR>        d--------        C:\temp
2008-07-18 18:53 . 2008-07-18 18:53        <DIR>        d--------        C:\Programme\FaxTools
2008-07-18 18:53 . 2008-07-18 18:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\BVRP Software
2008-07-18 18:48 . 2008-07-18 18:48        92        --a------        C:\WINXP\dellstat.ini
2008-07-18 18:45 . 2008-07-18 18:45        <DIR>        d--------        C:\Programme\Lexmark 1200 Series
2008-07-01 17:30 . 2008-07-01 17:30        <DIR>        d--------        C:\WINXP\system32\xircom
2008-07-01 17:30 . 2008-07-01 17:30        <DIR>        d--------        C:\Programme\microsoft frontpage
2008-06-30 21:41 . 2008-06-30 21:41        <DIR>        d--------        C:\Programme\Enigma Software Group
2008-06-30 21:41 . 2008-06-30 21:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\IEConfiguration1und1
2008-06-29 14:23 . 2008-07-15 19:49        765        --a------        C:\WINXP\wininit.ini
2008-06-22 16:36 . 2008-06-22 16:36        <DIR>        d--------        C:\Programme\1&1
2008-06-22 16:36 . 2008-06-22 16:36        <DIR>        d--h-----        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{411234A5-A7C5-4628-A4D3-64C942F8C38C}
2008-06-22 16:36 . 2008-06-22 16:36        1,008,768        --a------        C:\WINXP\system32\ieconfig_1und1.dll
2008-06-22 16:35 . 2008-06-22 16:35        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 16:47        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 15:56        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Google Updater
2008-07-19 21:22        ---------        d-----w        C:\Dokumente und Einstellungen\husch\Anwendungsdaten\Skype
2008-07-19 18:25        ---------        d-----w        C:\Programme\Trillianneu
2008-07-19 18:18        ---------        d-----w        C:\Dokumente und Einstellungen\husch\Anwendungsdaten\UseNeXT
2008-07-18 16:53        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-07-18 15:02        ---------        d-----w        C:\Programme\ElsterFormular
2008-07-13 18:42        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-13 18:40        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Symantec
2008-06-29 12:20        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\AAV
2008-06-22 14:36        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AVM
2008-06-14 14:00        ---------        d-----w        C:\Dokumente und Einstellungen\husch\Anwendungsdaten\The Games Company
2008-06-13 17:07        ---------        d-----w        C:\Dokumente und Einstellungen\husch\Anwendungsdaten\ProtectDisc
2008-06-12 18:48        805        ----a-w        C:\WINXP\system32\drivers\SYMEVENT.INF
2008-06-12 18:48        10,671        ----a-w        C:\WINXP\system32\drivers\SYMEVENT.CAT
2008-06-11 19:24        54,658,464        ----a-w        C:\Programme\Install_Norton360_DE.exe
2008-06-11 18:50        ---------        d-----w        C:\Programme\Spybot - Search & Destroy
2008-06-07 21:37        ---------        d-----w        C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Codemasters
2008-06-07 18:28        ---------        d-----w        C:\Programme\Logitech
2008-06-07 18:28        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Logitech
2008-05-24 16:29        ---------        d-----w        C:\Programme\Google
2007-11-26 20:35        22,328        ----a-w        C:\Dokumente und Einstellungen\husch\Anwendungsdaten\PnkBstrK.sys
2001-02-08 13:52        24,576        --sha-w        C:\WINXP\system32\comsysh.exe
2007-11-03 23:07        16,384        --sha-w        C:\WINXP\system32\config\systemprofile\Cookies\index.dat
2007-11-03 23:07        32,768        --sha-w        C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2007-11-03 23:07        32,768        --sha-w        C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2007-11-03 23:07        32,768        --sha-w        C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007110420071105\index.dat
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 10:27 153136]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-16 13:24 167368]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 22:02 495616]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2006-02-17 11:40 270336]
"JMB36X IDE Setup"="C:\WINXP\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"JMB36X Configure"="C:\WINXP\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
"NvCplDaemon"="C:\WINXP\system32\NvCpl.dll" [2007-09-17 02:07 8491008]
"NvMediaCenter"="C:\WINXP\system32\NvMcTray.dll" [2007-09-17 02:07 81920]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-05-13 02:00 1800408]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"Lexmark 2200 Series"="C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 15:15 57344]
"PCSuiteTrayApplication"="C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]
"_winadm"="C:\WINXP\system32\winadm.exe" [2007-06-21 19:47 1134592]
"TerraTec Scheduler"="C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe" [2005-02-24 14:47 618496]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2003-11-28 11:31 1171456]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 11:38 88584]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINXP\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINXP\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-09-17 02:07 1626112 C:\WINXP\system32\nwiz.exe]
"emMON"="emMON.exe" [2006-05-30 21:24 61440 C:\WINXP\emMON.exe]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 69632 C:\WINXP\Alcmtr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Nokia.PCSync"="C:\Nokia\PC Suite\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\WINXP\\system32\\PnkBstrA.exe"=
"C:\\WINXP\\system32\\PnkBstrB.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"D:\\Spiele\\CoD4 - Modern Warfare\\iw3mp.exe"=
"D:\\Spiele\\CRYSIS\\Bin32\\Crysis.exe"=
"D:\\Spiele\\CRYSIS\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"D:\\Spiele\\DEMOS\\Race Driver Grid Demo\\GRID.exe"=
"D:\\Spiele\\Race Driver GRID\\GRID.exe"=
"C:\\Programme\\1&1\\IGDCTRL.EXE"=
"C:\\Programme\\1&1\\FBoxUpd.exe"=
"C:\\Programme\\1&1\\WebwaIgd.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 16:32]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\1&1\IGDCTRL.EXE [2007-10-25 17:09]
R2 OkiPar;OkiPar;C:\WINXP\system32\DRIVERS\OKIPAR.SYS [2001-10-02 11:54]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINXP\system32\DRIVERS\fwlanusb.sys [2005-05-13 02:00]
S2 BT848;Conexant's BtPCI WDM Video Capture;C:\WINXP\system32\DRIVERS\BT848.sys []
S3 Cap7134;Cinergy 200 TV Capture;C:\WINXP\system32\DRIVERS\Cap7134.sys []
S3 TTTv200;Cinergy 200 TV Tuner;C:\WINXP\system32\DRIVERS\PhTvTune.sys [2003-08-01 15:38]
S3 USB28xxBGA;USB 2800 Device;C:\WINXP\system32\DRIVERS\emBDA.sys [2006-09-12 21:21]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINXP\system32\DRIVERS\emOEM.sys [2006-08-21 23:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e545d0-8a66-11dc-a08c-806d6172696f}]
\Shell\AutoRun\command - J:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
BHO-{04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
BHO-{08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
BHO-{0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
BHO-{115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
BHO-{14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
BHO-{1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
BHO-{1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
BHO-{30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
BHO-{35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
BHO-{37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
BHO-{38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
BHO-{39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
BHO-{3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
BHO-{435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
BHO-{4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
BHO-{4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
BHO-{4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
BHO-{4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
BHO-{50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
BHO-{552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
BHO-{56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
BHO-{58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
BHO-{5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
BHO-{61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
BHO-{6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
BHO-{6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
BHO-{68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
BHO-{68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
BHO-{6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
BHO-{70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
BHO-{78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
BHO-{7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
BHO-{7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
BHO-{89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
BHO-{8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
BHO-{8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
BHO-{8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
BHO-{94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
BHO-{99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
BHO-{9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
BHO-{9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
BHO-{A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
BHO-{A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
BHO-{AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
BHO-{BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
BHO-{CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
BHO-{cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
BHO-{D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
BHO-{D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
BHO-{D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
BHO-{D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
BHO-{e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
BHO-{e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
BHO-{EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
BHO-{FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
HKLM-Run-BM9fe8edb7 - C:\WINXP\system32\hreyhlfm.dll
Notify-efcCtUlI - (no file)
Notify-WgaLogon - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 18:52:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\system32\rundll32.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINXP\system32\Crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 18:55:06 - machine was rebooted
ComboFix-quarantined-files.txt  2008-07-20 16:55:04

Pre-Run: 29 Verzeichnis(se), 24,330,973,184 Bytes frei
Post-Run: 31 Verzeichnis(se), 25,133,993,984 Bytes frei

318        --- E O F ---        2008-04-16 15:38:39

nochdigger 20.07.2008 19:07
Hallo

lade dir bitte Avenger

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
c:\winxp\system32\syshost.exe
C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\byXqromn.dll
C:\WINXP\system32\byXqromn.ini
C:\WINXP\system32\byXqromn.ini2
C:\WINXP\system32\efcCtUlI.dll
C:\WINXP\BM9fe8edb7.xml
C:\WINXP\BM9fe8edb7.txt
C:\WINXP\system32\97f81a55-.txt
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Erstelle bitte nach einem Neustart ein frisches Hijackthis Log sowie eine Übersicht mit der Filelist.

MFG

sambal 20.07.2008 19:40
Zitat:
Zitat von nochdigger (Beitrag 355938)
Hallo

lade dir bitte Avenger

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
c:\winxp\system32\syshost.exe
C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\byXqromn.dll
C:\WINXP\system32\byXqromn.ini
C:\WINXP\system32\byXqromn.ini2
C:\WINXP\system32\efcCtUlI.dll
C:\WINXP\BM9fe8edb7.xml
C:\WINXP\BM9fe8edb7.txt
C:\WINXP\system32\97f81a55-.txt
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Erstelle bitte nach einem Neustart ein frisches Hijackthis Log sowie eine Übersicht mit der Filelist.

MFG
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\winxp\system32\syshost.exe" not found!
Deletion of file "c:\winxp\system32\syshost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINXP\system32\Mswinmask32.dll" deleted successfully.

Error:  file "C:\WINXP\system32\byXqromn.dll" not found!
Deletion of file "C:\WINXP\system32\byXqromn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\byXqromn.ini" not found!
Deletion of file "C:\WINXP\system32\byXqromn.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\byXqromn.ini2" not found!
Deletion of file "C:\WINXP\system32\byXqromn.ini2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\efcCtUlI.dll" not found!
Deletion of file "C:\WINXP\system32\efcCtUlI.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINXP\BM9fe8edb7.xml" deleted successfully.
File "C:\WINXP\BM9fe8edb7.txt" deleted successfully.
File "C:\WINXP\system32\97f81a55-.txt" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

sambal 20.07.2008 19:42
Zitat:
Zitat von nochdigger (Beitrag 355938)
Hallo

lade dir bitte Avenger

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
c:\winxp\system32\syshost.exe
C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\byXqromn.dll
C:\WINXP\system32\byXqromn.ini
C:\WINXP\system32\byXqromn.ini2
C:\WINXP\system32\efcCtUlI.dll
C:\WINXP\BM9fe8edb7.xml
C:\WINXP\BM9fe8edb7.txt
C:\WINXP\system32\97f81a55-.txt
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Erstelle bitte nach einem Neustart ein frisches Hijackthis Log sowie eine Übersicht mit der Filelist.

MFG
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:43, on 20.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\WINXP\system32\winadm.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Winamp\winampa.exe
C:\WINXP\emMON.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\1&1\IGDCTRL.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINXP\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://sedoparking.com/domparking.php?id=827484&q=%s
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
O2 - BHO: (no name) - {39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
O2 - BHO: (no name) - {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
O2 - BHO: (no name) - {9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINXP\system32\ieconfig_1und1.dll
O2 - BHO: (no name) - {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
O2 - BHO: (no name) - {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [_winadm] C:\WINXP\system32\winadm.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\hreyhlfm.dll",s
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: movie - XL.lnk = C:\Programme\movie - XL\StartJP.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&1\IGDCTRL.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 14568 bytes

nochdigger 20.07.2008 21:52
Hallo

hattest du die genannten Einträge mit Hijackthis gefixxt und vorher den Teatimer deaktiviert?
Es sieht nicht so aus...

Zitat:
Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
Poste die Textdatei bitte hierher

Zitat:
Erstelle bitte nach einem Neustart ... eine Übersicht mit der Filelist.
Würde ich auch gern sehen

MFG

sambal 21.07.2008 13:32
Zitat:
Zitat von nochdigger (Beitrag 355982)
Hallo

hattest du die genannten Einträge mit Hijackthis gefixxt und vorher den Teatimer deaktiviert?
Es sieht nicht so aus...


Poste die Textdatei bitte hierher


Würde ich auch gern sehen

MFG
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\winxp\system32\syshost.exe" not found!
Deletion of file "c:\winxp\system32\syshost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINXP\system32\Mswinmask32.dll" deleted successfully.

Error:  file "C:\WINXP\system32\byXqromn.dll" not found!
Deletion of file "C:\WINXP\system32\byXqromn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\byXqromn.ini" not found!
Deletion of file "C:\WINXP\system32\byXqromn.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\byXqromn.ini2" not found!
Deletion of file "C:\WINXP\system32\byXqromn.ini2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\efcCtUlI.dll" not found!
Deletion of file "C:\WINXP\system32\efcCtUlI.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\BM9fe8edb7.xml" not found!
Deletion of file "C:\WINXP\BM9fe8edb7.xml" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\BM9fe8edb7.txt" not found!
Deletion of file "C:\WINXP\BM9fe8edb7.txt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\97f81a55-.txt" not found!
Deletion of file "C:\WINXP\system32\97f81a55-.txt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

sambal 21.07.2008 13:37
Zitat:
Zitat von nochdigger (Beitrag 355982)
Hallo

hattest du die genannten Einträge mit Hijackthis gefixxt und vorher den Teatimer deaktiviert?
Es sieht nicht so aus...


Poste die Textdatei bitte hierher


Würde ich auch gern sehen

MFG
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:58, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\WINXP\system32\winadm.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINXP\emMON.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\1&1\IGDCTRL.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://sedoparking.com/domparking.php?id=827484&q=%s
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
O2 - BHO: (no name) - {39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
O2 - BHO: (no name) - {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
O2 - BHO: (no name) - {9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINXP\system32\ieconfig_1und1.dll
O2 - BHO: (no name) - {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
O2 - BHO: (no name) - {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [_winadm] C:\WINXP\system32\winadm.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\hreyhlfm.dll",s
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: movie - XL.lnk = C:\Programme\movie - XL\StartJP.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&1\IGDCTRL.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 14515 bytes

sambal 21.07.2008 14:19
Zitat:
Zitat von nochdigger (Beitrag 355982)
Hallo

hattest du die genannten Einträge mit Hijackthis gefixxt und vorher den Teatimer deaktiviert?
Es sieht nicht so aus...


Poste die Textdatei bitte hierher


Würde ich auch gern sehen

MFG
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:54, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\Explorer.EXE
C:\WINXP\system32\winadm.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\winadmd.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\1&1\IGDCTRL.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINXP\system32\nvsvc32.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [_winadm] C:\WINXP\system32\winadm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Nokia\PC Suite\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Nokia\PC Suite\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: 1&1 FRITZ!Box starter.lnk = C:\Programme\1&1\Stcenter.exe
O4 - Startup: DSL Internet.lnk = C:\Programme\1&1\FritzDsl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&1\IGDCTRL.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 3565 bytes

sambal 21.07.2008 14:22
Hi,

ich habe Dich jetzt glaube ich mind. 1 mal gründlich mißverstanden und habe nach einem Highjack vorhin ALLE Dateien markiert und gefixxt!

Ich weiß nicht so recht, was Du mit der Filelist meinst, bzw. wie ich die erstellen kann ...

Schwieriger Patient, sorry !

Viele Grüße

nochdigger 21.07.2008 17:07
Hallo

Zitat:
ich habe Dich jetzt glaube ich mind. 1 mal gründlich mißverstanden...
Ich glaube auch ;)

Zitat:
habe nach einem Highjack vorhin ALLE Dateien markiert und gefixxt!
wenn du nicht vergessen hast etwas zu kopieren war das wohl etwas des guten zuviel:eek:
Diese Einträge hätten durchaus bleiben dürfen:rolleyes:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 1&1 Internet AG - E-Mail - DSL - Modem - Shopping - Entertainment
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Diese Webseite ist im Moment in Bearbeitung!
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINXP\system32\ieconfig_1und1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
Zitat:
Ich weiß nicht so recht, was Du mit der Filelist meinst
hmm du hast doch schon eine erstellt:confused:
http://www.trojaner-board.de/56040-w...tml#post355714
genau so:daumenhoc bitte ein neues Log erstellen.


Zitat:
Schwieriger Patient, sorry !
Ach was es waren schon ganz andere "Patienten" zu versorgen:)


Wie geht es deinem Rechner gibt es noch Probleme?

MFG

sambal 21.07.2008 17:19
Zitat:
Zitat von nochdigger (Beitrag 356142)
Hallo


Ich glaube auch ;)


wenn du nicht vergessen hast etwas zu kopieren war das wohl etwas des guten zuviel:eek:
Diese Einträge hätten durchaus bleiben dürfen:rolleyes:



hmm du hast doch schon eine erstellt:confused:
http://www.trojaner-board.de/56040-w...tml#post355714
genau so:daumenhoc bitte ein neues Log erstellen.



Ach was es waren schon ganz andere "Patienten" zu versorgen:)


Wie geht es deinem Rechner gibt es noch Probleme?

MFG
Code:
Verzeichnis von C:\

21.07.2008  14:55    2.145.386.496 pagefile.sys
21.07.2008  14:29            4.242 avenger.txt
20.07.2008  18:55            18.497 ComboFix.txt
19.07.2008  16:27              404 desktop.ini
19.07.2008  16:27            12.443 AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Large.jpg
19.07.2008  16:27            12.443 Folder.jpg
19.07.2008  16:27            2.757 AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Small.jpg
19.07.2008  16:27            2.757 AlbumArtSmall.jpg
18.07.2008  18:53              168 setupfax.log
22.06.2008  13:24              177 Systemwiederherstellung.txt
07.06.2008  20:24            3.853 LGSInst.Log

Verzeichnis von C:\WINXP\system32

21.07.2008  14:56                0 nmp.log
21.07.2008  14:30                0 Mswinmask32.dll
18.07.2008  21:33            6.944 jupdate-1.6.0_07-b06.log
09.07.2008  17:19            2.206 wpa.dbl
27.06.2008  16:38          400.464 perfh009.dat
27.06.2008  16:38            60.624 perfc009.dat
27.06.2008  16:38          414.766 perfh007.dat
27.06.2008  16:38          961.472 PerfStringBackup.INI
27.06.2008  16:38            73.508 perfc007.dat
11.06.2008  21:34                16 coh.cache

Verzeichnis von C:\WINXP

21.07.2008  16:57          224.124 WindowsUpdate.log
21.07.2008  15:17            8.504 KB951748.log
21.07.2008  15:16            2.912 avminstcli.log
21.07.2008  15:16            3.438 avmadd32.log
21.07.2008  15:16            4.968 setupapi.log
21.07.2008  14:56                0 0.log
21.07.2008  14:56                50 wiaservc.log
21.07.2008  14:56              159 wiadebug.log
21.07.2008  14:55            2.048 bootstat.dat
21.07.2008  14:55              133 errord.log
21.07.2008  14:54            32.632 SchedLgU.Txt
21.07.2008  14:54            3.275 tm.ini
21.07.2008  14:54              114 tdf.dii
21.07.2008  14:13            15.873 KB951376-v2.log
21.07.2008  14:13            2.177 tabletoc.log
21.07.2008  14:13            1.374 imsins.log
21.07.2008  14:13            19.747 tsoc.log
21.07.2008  14:13            14.407 comsetup.log
21.07.2008  14:13            47.131 iis6.log
21.07.2008  14:13            8.729 ntdtcsetup.log
21.07.2008  14:13            2.394 ocmsn.log
21.07.2008  14:13            2.975 MedCtrOC.log
21.07.2008  14:13            2.163 msgsocm.log
21.07.2008  14:13            23.247 ocgen.log
21.07.2008  14:13            7.581 netfxocm.log
21.07.2008  14:13            43.249 FaxSetup.log
21.07.2008  14:13            13.312 msmqinst.log
21.07.2008  14:13            1.374 imsins.BAK
21.07.2008  14:13            26.937 KB950759-IE7.log
21.07.2008  14:13            4.549 updspapi.log
21.07.2008  14:13            19.957 KB951698.log
21.07.2008  14:13            11.064 KB950762.log
21.07.2008  14:13            7.629 KB950760.log
21.07.2008  14:13            15.727 KB950749.log
21.07.2008  14:13            13.319 KB932823-v3.log
21.07.2008  14:13                0 setuperr.log
21.07.2008  14:13                0 setupact.log
20.07.2008  18:52              260 system.ini
18.07.2008  18:56              438 lexstat.ini
18.07.2008  18:48                92 dellstat.ini
15.07.2008  19:49              765 wininit.ini
12.07.2008  22:18                69 NeroDigital.ini
28.06.2008  09:43                34 cdplayer.ini
07.03.2008  21:33            7.680 Thumbs.db

Verzeichnis von C:\WINXP\Prefetch

21.07.2008  18:12            11.770 FIND.EXE-306D7099.pf
21.07.2008  18:12            11.996 CMD.EXE-2AAB9DAB.pf
21.07.2008  18:12            13.544 WINRAR.EXE-3588DFE8.pf
21.07.2008  18:11            16.110 VERCLSID.EXE-1C385444.pf
21.07.2008  17:26            74.346 TRILLIAN.EXE-01985CD0.pf
21.07.2008  17:26            56.526 REGSVR16.EXE-334EA3E7.pf
21.07.2008  16:57            27.816 WUAUCLT.EXE-13B6AD34.pf
21.07.2008  16:27          382.814 Layout.ini
21.07.2008  15:44            31.926 WMIPRVSE.EXE-2F9046ED.pf
21.07.2008  15:38            63.760 WINAMP.EXE-08C38ED9.pf
21.07.2008  15:38            17.116 IMAPI.EXE-20F8CDD2.pf
21.07.2008  15:31            66.786 USENEXT.EXE-1681815B.pf
21.07.2008  15:19            90.380 FIREFOX.EXE-1D57670A.pf
21.07.2008  15:19            15.092 NOTEPAD.EXE-0815DEA3.pf
21.07.2008  15:19            22.198 HIJACKTHIS.EXE-1CB4CC24.pf
21.07.2008  15:18            77.770 SPYBOTSD.EXE-1D495A65.pf
21.07.2008  15:17            56.000 UPDATE.EXE-0C5CEA10.pf
21.07.2008  15:16            22.666 SVCHOST.EXE-064839DA.pf
21.07.2008  15:16            10.520 WLANGUI.EXE-0299A31C.pf
21.07.2008  15:16            17.720 WLANNETSERVICE.EXE-2A83BAF2.pf
21.07.2008  15:16            22.320 GRPCONV.EXE-2A5C5807.pf
21.07.2008  15:16            18.824 RUNONCE.EXE-254D490F.pf
21.07.2008  15:16            11.508 INSTWCLI.EXE-3187CD63.pf
21.07.2008  15:12            12.216 RUNDLL32.EXE-3FAF52DE.pf
21.07.2008  14:59            41.268 FBOXDIAG.EXE-03B6EDC7.pf
21.07.2008  14:59            25.570 FRITZDSL.EXE-3AFA3CF3.pf
21.07.2008  14:59            26.230 STCENTER.EXE-0EFC77FF.pf
21.07.2008  14:58            33.404 MMC.EXE-41305F92.pf
21.07.2008  14:58            28.174 RUNDLL32.EXE-1F1374F1.pf
21.07.2008  14:58            9.238 WSCNTFY.EXE-322C45BB.pf
21.07.2008  14:57            12.932 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
21.07.2008  14:57            35.108 APACHE.EXE-12A41257.pf
21.07.2008  14:57            23.392 IGDCTRL.EXE-0A3A79FA.pf
21.07.2008  14:57            21.930 NSVCIP.EXE-24A298DC.pf
21.07.2008  14:57            17.860 NSVCLOG.EXE-3AFF1CEB.pf
21.07.2008  14:57            22.474 NVSVC32.EXE-1BDA4334.pf
21.07.2008  14:57          879.250 NTOSBOOT-B00DFAAD.pf
21.07.2008  14:53            57.640 ELFO2006.EXE-3A93F6B0.pf
21.07.2008  14:53            70.286 SSE.EXE-0AA2652D.pf
21.07.2008  14:51            15.862 RUNDLL32.EXE-2CD2AF36.pf
21.07.2008  14:49            14.238 CTFMON.EXE-00681DDA.pf
21.07.2008  14:43            18.938 WINADMD.EXE-0E34F41B.pf
21.07.2008  14:43            27.244 WINADM.EXE-10C73548.pf
21.07.2008  14:43            12.404 NET.EXE-0A19288A.pf
21.07.2008  14:43            14.076 NET1.EXE-109A9FE8.pf
21.07.2008  14:42            23.730 REGSVR32.EXE-2CB1139E.pf
21.07.2008  14:42            14.814 REGEDIT.EXE-3B104B33.pf
21.07.2008  14:35            29.926 TEATIMER.EXE-38E505A8.pf
21.07.2008  14:32            18.538 CONTROL.EXE-011C25FA.pf
21.07.2008  14:32            39.864 RUNDLL32.EXE-33230F23.pf
21.07.2008  14:31            16.734 ALG.EXE-069F9A25.pf
21.07.2008  14:31            67.618 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
21.07.2008  14:31            9.044 CRYPSERV.EXE-37F546C6.pf
21.07.2008  14:31            11.522 AAVUS.EXE-279C8C77.pf
21.07.2008  14:28            7.198 NCLINSTALLER.EXE-29B54FA6.pf
21.07.2008  14:28            18.312 AVENGER.EXE-28CEA7C3.pf
21.07.2008  14:18            28.516 NMINDEXINGSERVICE.EXE-19799BA6.pf
21.07.2008  14:13            56.118 UPDATE.EXE-107C7B83.pf
21.07.2008  14:13            58.446 UPDATE.EXE-01D4DE51.pf
21.07.2008  14:13            60.358 UPDATE.EXE-0A023A6D.pf
21.07.2008  14:13            57.214 UPDATE.EXE-1B40305A.pf
21.07.2008  14:13            56.346 UPDATE.EXE-26659463.pf
21.07.2008  14:13            55.950 UPDATE.EXE-03B97845.pf
21.07.2008  14:13            48.944 UPDATE.EXE-01D00896.pf
21.07.2008  14:12            20.118 RUNDLL32.EXE-4013F16B.pf
20.07.2008  21:56            68.062 SKYPEPM.EXE-03F1BFBD.pf
20.07.2008  21:56            64.784 SKYPE.EXE-21F19BC8.pf
20.07.2008  21:44            17.394 NOTEPAD.EXE-02406CD4.pf
20.07.2008  18:55            3.276 VFIND.CFEXE-2033727F.pf
20.07.2008  18:55            4.508 SED.CFEXE-268D7E58.pf
20.07.2008  18:55            25.894 PV.CFEXE-0E6F2701.pf
20.07.2008  18:55            10.822 SORT.EXE-2749EA70.pf
20.07.2008  18:54            9.570 REGT.CFEXE-15DB5DAE.pf
20.07.2008  18:54            6.616 FINDSTR.CFEXE-38519B93.pf
20.07.2008  18:54            10.606 NIRCMD.CFEXE-19FF4781.pf
20.07.2008  18:54            17.900 CF21752.EXE-150FB159.pf
20.07.2008  18:54            4.384 MTEE.CFEXE-1E067BC7.pf
20.07.2008  18:54            52.394 SWREG.CFEXE-2BF4FFCD.pf
20.07.2008  18:54            3.882 GREP.CFEXE-20443039.pf
17.11.2007  15:02            60.018 UPDATE.EXE-0AB5FE41.pf

Verzeichnis von C:\WINXP\tasks

21.07.2008  14:55                6 SA.DAT
23.08.2001  14:00                65 desktop.ini

Verzeichnis von C:\WINXP\temp

21.07.2008  14:56            40.960 rtdrvmon.exe
              1 Datei(en)        40.960 Bytes

Verzeichnis von C:\DOKUME~1\husch\LOKALE~1\Temp

21.07.2008  18:12          130.837 filelist.txt
21.07.2008  15:38            10.314 633522515033437500.pls
21.07.2008  14:55            16.384 ~DFC092.tmp
21.07.2008  14:55            16.384 ~DF7F28.tmp
21.07.2008  14:44            16.384 ~DFD0CC.tmp
21.07.2008  14:44            16.384 ~DF7E34.tmp
21.07.2008  14:42            16.384 ~DF7C53.tmp
21.07.2008  14:35          114.688 ~DF5568.tmp
21.07.2008  14:30            16.384 ~DF56DE.tmp
21.07.2008  14:30            16.384 ~DF6500.tmp
21.07.2008  14:17            16.384 ~DF8A0B.tmp
21.07.2008  14:17            16.384 ~DF355E.tmp
21.07.2008  14:10            16.384 ~DF5E89.tmp
21.07.2008  14:10            16.384 ~DF3A38.tmp
20.07.2008  21:08              208 java_install_reg.log
20.07.2008  20:38            16.384 ~DF2904.tmp
20.07.2008  20:38            21.964 Norwegian.bin
20.07.2008  20:38            19.553 Hebrew.bin
20.07.2008  20:38            22.253 Turkish.bin
20.07.2008  20:38            26.080 Hungarian.bin
20.07.2008  20:38            24.312 Czech.bin
20.07.2008  20:38            22.857 Finnish.bin
20.07.2008  20:38            25.071 Portuguese(Brazil).bin
20.07.2008  20:38            24.221 Polish.bin
20.07.2008  20:38            25.082 Greek.bin
20.07.2008  20:38            21.976 Thai.bin
20.07.2008  20:38            24.082 SWEDISH.bin
20.07.2008  20:38            25.753 German.bin
20.07.2008  20:38            27.235 French.bin
20.07.2008  20:38            27.753 Spanish.bin
20.07.2008  20:38            26.126 Russian.bin
20.07.2008  20:38            16.949 TradChin.bin
20.07.2008  20:38            27.410 Italian.bin
20.07.2008  20:38            20.972 Arabic.bin
20.07.2008  20:38            26.260 Portuguese.bin
20.07.2008  20:38            21.914 English.bin
20.07.2008  20:38            16.408 SimChin.bin
20.07.2008  20:38            22.783 Danish.bin
20.07.2008  20:38            20.135 Korean.bin
20.07.2008  20:38            24.297 Japanese.bin
20.07.2008  20:38            25.747 Dutch.bin
20.07.2008  20:38            16.384 ~DF1941.tmp
20.07.2008  18:52            16.384 ~DF1B85.tmp
20.07.2008  18:52            16.384 ~DFA1DE.tmp
              44 Datei(en)      1.089.000 Bytes

sambal 21.07.2008 17:23
Hi,

dem Rechner geht es soweit ganz gut. Nach der LÖSCHUNG hatte ich leichte Probleme aber inzwischen läuft er eigentlich wieder ganz rund ...

... Dank Die/Euch !!!

nochdigger 21.07.2008 20:41
Hallo

wie ich sehe ist unser alter Bekannter wieder da:koch:
Lade dir bitte mal OTMoveIt

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Code:
C:\WINXP\system32\Mswinmask32.dll
--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

MFG

sambal 21.07.2008 20:56
Zitat:
Zitat von nochdigger (Beitrag 356213)
Hallo

wie ich sehe ist unser alter Bekannter wieder da:koch:
Lade dir bitte mal OTMoveIt

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Code:
C:\WINXP\system32\Mswinmask32.dll
--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

MFG
Code:
LoadLibrary failed for C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\Mswinmask32.dll NOT unregistered.
File move failed. C:\WINXP\system32\Mswinmask32.dll scheduled to be moved on reboot.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07212008_214932

Files moved on Reboot...
LoadLibrary failed for C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\Mswinmask32.dll NOT unregistered.
File move failed. C:\WINXP\system32\Mswinmask32.dll scheduled to be moved on reboot.

nochdigger 22.07.2008 15:44
Hallo

Zitat:
21.07.2008 15:31 66.786 USENEXT.EXE-1681815B.pf
So Zeuch nutzt du?
Ich würd zusehen, dass ich das vom Rechner bekomme.

Kontrolliere bitte ob die Datei
C:\WINXP\system32\Mswinmask32.dll
nun gelöscht ist.
Entferne mit dem Ccleaner noch verweiste Regestryeinträge und wenn die Datei gelöscht ist, sollte es das gewesen sein.

MFG

sambal 22.07.2008 16:07
Hallo,

die Mswinmask32.dll ist leider noch da :-(

Usenext ist ne tolle Eingangstür, ja?

Viele Grüße

nochdigger 22.07.2008 16:14
Hallo

über Usenext wegen Schädlingen kann ich nix sagen, denke aber die Inhalte sind nicht ganz sauber...

Versuchen wir es mit diesem Programm
unDLL by ESET
halte dich an die Anleitung und berichte nach einem Neustart des Rechners ob die Datei noch vorhanden ist.

MFG

sambal 22.07.2008 16:27
Hi,

ja, sie ist immernoch da. Hier der Log von UNDLL:

07.22.2008 17:21:54 [SysLog]: UnDLL engine 1.0.0.2 initialized
07.22.2008 17:21:54 [SysLog]: OS: 5.1 build 2600 (Service Pack 2)
07.22.2008 17:22:19 [Action]: + Searching for infected threads...
07.22.2008 17:22:23 [Action]: Deleting file [C:\WINXP\system32\Mswinmask32.dll] - deferred at next reboot
07.22.2008 17:22:25 [Action]: + Searching in AppInit_DLLs...
07.22.2008 17:22:25 [Action]: Writing AppInit_DLLs in the Registry: [Nothing]
07.22.2008 17:22:25 [Action]: + Searching in Winlogon Notify...
07.22.2008 17:22:25 [Action]: + Searching in Browser Helper Objects...
07.22.2008 17:22:25 [Action]: System Reboot

Viele Grüße

nochdigger 22.07.2008 16:49
Hallo

hast du den Rechner nach dem schon neu gestartet?
Zitat:
Deleting file [C:\WINXP\system32\Mswinmask32.dll] - deferred at next reboot
die Datei sollte beim nächsten Neustart gelöscht werden.


MFG

sambal 22.07.2008 16:55
Hi,

habe nun nochmal gebootet: Sie steht weiterhin mit 0 Kb im System32 :o(((

Hartnäckig ...

nochdigger 22.07.2008 18:59
Hallo

ich glaube jetzt hab ich mich irre :balla: machen lassen...

Ich habe bei der Datei gedacht, sie sei eine Datei die andere Schädlinge nachläd...nun denke ich aber sie ist Teil von Parents Friend.
Wie ich gelesen habe, können die Dateien (sind einige), auch wenn die Software deinstalliert ist, auf dem System zurück bleiben.


MFG

sambal 22.07.2008 19:04
Hi,

okay, macht ja nix!

Ich bin Dir/Euch sehr dankbar für die ausführliche,professionelle und zeitintensive Hilfe!!!

Kann ich noch nen Tipp für die Zukunft bekommen?! Also was Ihr so als Permanent-Schutz empfehlen könnt...

VIELEN DANK FÜR ALLES!

Viele Grüße

nochdigger 22.07.2008 19:17
Hallo

Zitat:
Kann ich noch nen Tipp für die Zukunft bekommen?! Also was Ihr so als Permanent-Schutz empfehlen könnt...
Das wirklich wichtigste ist die kleinen grauen Zellen beim Surfen zu nutzen
Brain.exe - Die Rundumlösung für viele Probleme
Halte deine Software aktuell, egal ob Betriebssystem oder Anwendung (Java und Adobe Reader z.B.).
Surfe mit einem eingeschränktem Nutzerkonto.
Benutze nach Möglichkeit einen alternativen Browser Opera oder Firefox.

Klick dich mal hier durch
Homepage von Malte J. Wetz
http://www.trojaner-board.de/12154-a...sicherung.html
dort findest du bestimmt das eine oder andere was du mitnehmen kannst;)

MFG

sambal 22.07.2008 19:25
Hi,

wenn ich mich irgendwie erkenntlich zeigen kann, dann nur zu! Frage mich nach wie vor nach Eurer Motivation ...

Viele Grüße und wahrscheinlich bis zum nächsten Mal irgendwann.

Es dankt, der Sambal


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131