Trojaner in system32 kann nicht gelöscht werden
 

Hallo zusammen,

ich habe mit meinem AntiVir im windows\system32-Ordner den Trojaner dapzutf.dll identifiziert und entdeckt. Das Verschieben und Lösen kann das Problem allerdings nicht lösen, da die Datei sich innerhalb weniger Sekunden wieder selbstkreiert. Zusätzlich vermute ich weitere Trojaner (die nicht von meinem AntiVir erkannt werden), da auf einem meiner Memory-Sticks bei einem anderen Computer ein weiterer Trojaner entdeckt wurde (welcher weiß ich leider nicht).

Habe CCleaner und Malwarebytes schon durchlaufen lassen - leider ohne Verbesserung.

Nachfolgend mein Logfile nach der HijackThis-Analyse:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:05, on 14.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\QSTART.SYS\DVMExportService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\lenovo\system update\suservice.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Lenovo\Energy Management\utility.exe
C:\Program Files\Lenovo\Energy Management\Energy Management.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Matthias\Matthias.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {039EEE23-4D76-487F-9EEA-5507A7B8A4Eb} - C:\WINDOWS\system32\txpdeyns.dll
O2 - BHO: (no name) - {C7CC9F8F-E646-42C6-87D4-3694A6951671} - c:\windows\system32\dapzutf.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EnergyUtility] C:\Program Files\Lenovo\Energy Management\utility.exe
O4 - HKLM\..\Run: [Energy Management] C:\Program Files\Lenovo\Energy Management\Energy Management.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Matthias] C:\Dokumente und Einstellungen\Matthias\Matthias.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - btsendto_ie.htm
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: niltwzls - C:\WINDOWS\SYSTEM32\dapzutf.dll
O20 - Winlogon Notify: rbadzm - rbadzm.dll (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Lenovo\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Programme\Power Translator 11\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: DVM Meta Data Export Service (MDES) - DeviceVM - C:\QSTART.SYS\DVMExportService.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 6489 bytes


Danke für jegliche Hilfe und Unterstützung :daumenhoc

lass mal bei Virustotal durchlaufen. kopiere dann in diesem thema das ergebnis.

da wäre neuaufsetzen die bste lösung, aber warten wir erstmal ab

dass vllt auch noch untersuchen ;)

Hi Matthias und :hallo:

wenn ich noch etwas zu Mosts Sachen ergänze:

Lass bitte folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten:
Poste bitte alle anfallenden Logfiles, sowie das Logfile von MalwareBytes.

Gruß
Handball10

Danke für die erste Hilfe. Hier die Ergebnisse von VirusTotal:

C:\WINDOWS\system32\txpdeyns.dll
c:\windows\system32\dapzutf.dll
Matthias.exe konnte nicht gefunden werden, obwohl die Datei immer noch ausgeführt wird. Habe beim Durchsuchen der Festplatte nur folgende Dateien gefunden und analysiert:

MATTHIAS.EXE-1DBADB15.pf
MATTHIAS.EXE-3AEF5DC5.pf
Malwarebytes lässt sich nicht mehr starten :( Ich weiß leider nicht wieso und kann deswegen kein logfile senden.

Ich hab nochmal ein neues Hijacklog-file erstellt, vielleicht hilft das weiter:

moin Matthias,

versuche mal, die Installationsdatei von MalwareBytes umzubenennen, z.B. in 123.exe.
zu den Dateien, die du ausgewertet hast:

Versuche über HJT folgenden Eintrag zu fixen:
Hast du die versteckten Ordner sichtbar gemacht?
Versteckte Dateien und Ordner sichtbar machen | com! – Tipps zu: Windows Vista,Windows XP,System-Tools,System

Wenn du das gemacht hast , bitte versuch es mit der Datei Matthias.exe" erneut.

Gruß
Handball10

Sorry, weiß nicht wie ich meinen Beitrag löschen kann. Malware funktioniert jetzt und ich schreibe danach meinen aktualisierten Report.

ok, das Moin werd ich ändern :)

also:

GMER: http://www.trojaner-board.de/74908-a...t-scanner.html

Lass deinen PC mit SuperAntiSpyware scannen:
http://www.trojaner-board.de/51871-a...tispyware.html

Und anschließend noch einmal folgendes:
http://www.trojaner-board.de/74910-a...tion-tool.html

HJT-Einträge fixen:
Viel Erfolg!

Gruß
Handball10

Erstmal einen riesen Dank Handball10 für die Unterstützung!!

Mittlerweile funktioniert mein Malwarebytes und ich habe den Beitrag überarbeitet und auch die anderen Programme durchführen lassen. Die Ergebnisse:

Malwarebytes:
GMER
Und das Ergebnis der Virustotal-Analyse der Matthias.exe Datei
Und mein HJT-logfile:

Die Protokolle der RSIT-Analyse befinden sich im Anhang. Das SuperAntiSpyware lässt sich leider nicht installieren - Ich bin als Administrator angemeldet. Muss ich noch etwas anderes wichtiges beachten oder reichen die Analyseergebnisse schon aus?

Nochmals: DANKE!!

Hi Matthias,

es scheint so, als sei bei dir immer noch einiges drauf, was nicht hier hin gehört :pfui:

Das Zeugs ist neu:
Das bestätigt auch das RSIT-Logfile:
Lass bitte folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten:
Obwohl die Ergebnisse für die "logon.exe" und "mssrv32.exe" eindeutig sind:
mssrv32.exe --> ThreatExpert Report: Backdoor.Win32.Kbot.s, Downloader, FDoS-BEnergy, Mal/Emogen-Y, Mal/Basine-C..
^
logon.exe --> ThreatExpert Reports

Wird sehr oft mit Backdoors in Verbindung gebracht.

Des weiteren hast du ein fieses Rootkit noch drauf:
Und das hier dürfte auch nicht prickelnd sein:
Ich hole mal professionelle herbei. Bin noch sozusagen "in der Ausbildung", das hier überschreitet noch leider mein Wissen, und am Freitag gehts nach Norwegen in den Urlaub :)

Jedoch ist es meiner Meinung nach am Besten, den PC neuaufzusetzen.

Gruß
Handball10

Hab mir schon gedacht, dass es schlimm ist. Jetzt öffnet mein Excel gleichzeitig den Debugger und eine google Suche springt automatisch auf neue, unbekannte Seite :(

Hab bei Virustotal die Dateien analyisiert:
C:\WINDOWS\system32\logon.exe

[CODE][/a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.16 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.15 -
AVG 8.5.0.387 2009.07.15 SHeur2.ARAN
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.15 -
ClamAV 0.94.1 2009.07.15 -
Comodo 1664 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.16 -
eSafe 7.0.17.0 2009.07.15 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.16 -
Ikarus T3.1.1.64.0 2009.07.16 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 Artemis!F08F7FD6F74E
McAfee-GW-Edition 6.8.5 2009.07.16 -
Microsoft 1.4803 2009.07.16 -
NOD32 4247 2009.07.15 a variant of Win32/Kryptik.VZ
Norman 6.01.09 2009.07.15 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 -
Rising 21.38.24.00 2009.07.15 -
Sophos 4.43.0 2009.07.16 Mal/EncPk-IY
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.16 -
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.15 PAK_Generic.001
VBA32 3.12.10.8 2009.07.15 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.7.15.1837 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.15 -
weitere Informationen
File size: 34816 bytes
MD5...: f08f7fd6f74e3d6d47c2c7356077ef5e
SHA1..: 54d250db37f7e2d3ac3c4b350f0900a381a17cb1
SHA256: 0f80193a9e0a5f788f501c717510eaa065c4fed609ec81a6319ed24c7cb8395d
ssdeep: 768:hAQzpqvFx0lqREq8bQ42QsFX9cC5K3ftVOM1b:hAMpqv/eqREqgwjchrOMd
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (79.3%)
Win32 Executable Generic (7.9%)
Win32 Dynamic Link Library (generic) (7.0%)
Win16/32 Executable Delphi generic (1.9%)
Generic Win/DOS Executable (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10a0
timedatestamp.....: 0x46ab415f (Sat Jul 28 13:15:11 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6460 0x6600 7.52 b61b3c60b1c6b2ee090dba22e5f85e22
.rdata 0x8000 0x72 0x200 0.98 e24c37e53742ff48ff9099a8e0ef2ca3
.data 0x9000 0x157 0x400 2.65 7bfc28f3fce59b4f79bfa8f51276edba
.reloc 0xa000 0x1ff 0x200 1.11 b96b1ccb9d1c97076b565a079e2412d1
.debug 0xb000 0x7fe 0x800 1.06 97cc678b6e94d6cc1e248e7739a9fdfb
.rsrc 0xc000 0xc000 0xc00 5.48 ac8eb0b4fb4adcbe5aabc0a7511170e0

( 1 imports )
> kernel32.dll: GetProcAddress, LoadLibraryA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-CODE]

C:\WINDOWS\system32\00setup.exe
Die andere Datei C:\DOKUME~1\...\LOKALE~1\Temp\qxyaxsaj.sys existiert nicht mehr. Ich habe meinen Virenscanner nochmals laufen lassen und dabei die Datei gelöscht.

Die Datei C:\WINDOWS\system32\mssrv32.exe lässt sich bei Virustotal nicht hochladen, bzw. es erscheint folgende Meldung:
0 bytes size received / Se ha recibido un archivo vacio


Weiß jemand anderes noch Rat oder ist es besser, den PC neu aufsetzen??

moin Matthias,

kannst du nochmals ein RSIT-Logfile reinstellen?

Scheint so, als ob sich die ganze Zeit was neues einschleust.

Gruß
Handball10

Hallo Ich hofe mir kan hier jemand helfen, bei mit ist folgender virus aufgetaucht:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\xop32.exe
Infected: Backdoor.IRC.ZGE

Habe schon versucht diesen mit CCleaner zu entfernen, hilflos

HjackThis hab ich durchlaufen lassen. Es ergab sich folgende liste:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:30, on 14.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\agrsmsvc.exe
E:\Programme\BrAutomation\AsTools\BrAuthorization\ BrAuthorizationSvc.exe
E:\Programme\Intel\Wireless\Bin\EvtEng.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Analog Devices\Core\smax4pnp.exe
E:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
E:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
E:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
E:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
E:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
E:\Programme\Java\jre6\bin\jusched.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
E:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
E:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe
E:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
E:\WINDOWS\system32\RunDll32.exe
E:\Programme\Softwin\BitDefender10\bdmcon.exe
E:\Programme\Softwin\BitDefender10\bdagent.exe
E:\Programme\Hp\HP Software Update\HPWuSchd2.exe
E:\Programme\pdfforge Toolbar\SearchSettings.exe
E:\Programme\Softwin\BitDefender10\vsserv.exe
E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
E:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\WINDOWS\vsnpstd3.exe
E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Microsoft ActiveSync\wcescomm.exe
E:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
E:\Programme\Skype\Phone\Skype.exe
E:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
E:\PROGRA~1\MICROS~2\rapimgr.exe
E:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Softwin\BitDefender10\bdlite.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Skype\Plugin Manager\skypePM.exe
E:\WINDOWS\system32\taskmgr.exe
C:\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = HP United States - Computers, Laptops, Servers, Printers and more
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - E:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.D LL
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Programme\pdfforge Toolbar\SearchSettings.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - E:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.D LL
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - E:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.1.1309 .3572\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - E:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - E:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - E:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - E:\Programme\Yahoo!\Companion\Installs\cpn\YTSingl eInstance.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - E:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - E:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] E:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] E:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] E:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StartCCC] E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Cpqset] E:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "E:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "E:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "E:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [WatchDog] E:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 E:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "E:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] E:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BDMCon] "E:\Programme\Softwin\BitDefender10\bdmcon.exe " /reg
O4 - HKLM\..\Run: [BDAgent] "E:\Programme\Softwin\BitDefender10\bdagent.ex e"
O4 - HKLM\..\Run: [HP Software Update] E:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SearchSettings] E:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [snpstd3] E:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "E:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] E:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] E:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [ISUSPM] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = E:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZKxdm022YYAT
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...tup1.0.1.1.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - E:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - E:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BR.AS.VersionChangerService - Bernecker + Rainer, Industrie-Elektronik Ges.m.b.H., A-5142 Austria, Europe - E:\WINDOWS\system32\BR.AS.VersionChangerService.ex e
O23 - Service: B&R Authorization (BrAuthorizationSvcx) - Bernecker + Rainer, Industrie-Elektronik Ges.m.b.H, A-5142, Austria, Europe - E:\Programme\BrAutomation\AsTools\BrAuthorization\ BrAuthorizationSvc.exe
O23 - Service: B&R Disk Image (BrDiskImageSvcx) - Bernecker + Rainer, Industrie-Elektronik Ges.m.b.H, A-5142, Austria, Europe - E:\Programme\BrAutomation\PVI\V2.5.2\PVI\Tools\Pvi Transfer\BrDiskImageSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - E:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - E:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - E:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - E:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - E:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - E:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - E:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 14677 bytes


Ich hoffe irgnd ein schlauer Kopf kann mir hier weiterhelfen !!!

LG

Hi happy.at und :hallo:

bitte eröffne für dein Problem ein eigenes Thema. Sonst kommt es zu Verwirrungen...

Gruß
Handball10

hallo wo kann ich ein neues thema eröffen.
kann das sein, dass ich noch keines eröffnen kann da ich noch nicht freigeschalten bin?