|
Icons und Dateien auf dem Desktop sind teilweise weg! Hallo liebe HelferInnen und LeserInnen, ich hatte (habe) auch einen Browser Hijacker auf meinem Rechner (Win XP Pro SP2), bedingt durch einen Trojaner. Es ist so aufgetreten, daß auf einmal mein Desktop-Hintergrundbild weg und der Hintergrund nun weiß war. Die Icons und Fenster auf dem Desktop waren teilweise so komisch ausgefranst (weniger aufgelöst) und auch teilweise gelöscht. Unter anderem auch wichtige Dateien von mir, denn ich lege üblicherweise Dateien, woran ich momentan arbeite immer erstmal auf dem Desktop ab. Komme ich da jetzt irgendwie wieder dran, oder sind die für immer gelöscht? Außerdem wurde eine Weile später der Hintergrund knallrot, mit einem schaurigen Bio-Hazard Zeichen in der Mitte. Drei fremde Icons waren auf einmal drauf, obwohl ich nichts installiert habe. Naja, und ein nerviges Bowserfenster nach dem anderen hat sich in Firefox und IE geöffnet. Mein Avira schlug ständig Alarm und ich hab alle Meldungen sofort löschen lassen. Das Problem ging aber nicht weg. Der Rechner hat auch so komisch gerauscht, wie sonst eigentlich nie. Habe mir dann mehrere Anti-Spyware-Tools auf den Rechner geladen und die alle nacheinander scannen lassen. Die haben auch ne Menge gefunden und (angeblich) gelöscht. Nach dem Neustart am nächsten Tag kam der veränderte Desktop aber wieder, obwohl die Tools doch alle Malware gelöscht hatten. Habe dann noch mehr Reinigungs und Löschtools aus dem Internet runtergeladen und in meiner Verzweiflung alle drüberlaufen lassen. Es wurde ja auch immer wieder was gefunden. Auf einmal gab der Computer so komische Knack-Geräusche von sich, die sich so ähnlich anhören, wie die Geräusche, die der PC von sich gibt, kurz bevor er ausgeht, beim Runterfahren. Doch ich habe den Rechner nicht runtergefahren, ein paar Minuten später ist der Rechner dann einfach so ausgegangen und wieder hochgefahren, wie beim Neustart. Aber das System war kaum wieder richtig geladen, ist der Rechner auch schon wieder ausgegangen und hat neu gestartet. Ganz komisch... Also ich hab den Rechner jetzt erstmal stehengelassen und nichts mehr dran gemacht. Will nämlich keine Fehler mehr machen und daher erstmal hier um Rat fragen, bevor ich noch was schlimmeres anstelle. Hoffe ja wirklich, daß jemand eine Idee hat, wie ich weiter verfahren kann. Bin da sehr dankbar. :cry: |
Hallo versuche bitte zuallererst alle deine wichtigen Daten zu sichern, egal ob auf CD/DVD oder auf externe Datenträger (z.B. USB-Sticks) nur sichere bitte keine ausführbaren Dateien (exe, bat, pif, scr usw.) mit. Dann erstelle bitte ein Hijackthis Log nach dieser Anleitung http://www.trojaner-board.de/51130-a...ijackthis.html anschließend sehen wir weiter. MFG |
Hallo, hatte viel zu tun auf Arbeit, daher kommt der LogFile erst jetzt... bin aber an einem anderen Rechner angemeldet Vielen Dank für die Hilfe! ------------------------------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:46:03, on 03.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wikipedia.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = TO BE O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: dpevflbg - {859D10F7-0E0F-43A8-8DF7-EC0466A40301} - C:\WINDOWS\dpevflbg.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [q5JCgPwvfE] C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10 O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.51 217.237.148.22 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: iexplore - eYrg4.dll (file missing) O21 - SSODL: wdpoefan - {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll O21 - SSODL: vadokmxt - {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7874 bytes |
dein system scheint ordentlich verseucht. Verziechte erst mal auf online-geschäfte aller art. Lad combofix halte dich genauestens an anleitung poste log + frisches hijacktkhis-log: http://virus-protect.org/artikel/tools/combofix.html |
Hallo, vielen Dank für die Tips... Muß ich eigentlich vorher die Systemwiederherstellung deaktivieren? Oder noch was anderes beachten? Vielen Dank... |
nur alle programme abschalten und die finger beim combofixdurchlauf vom rechner lassen... |
Anleitung zur Reinigung 1) Erst einmal finden Wir heraus , was sich auf deinen System befindet. Das machen Wir folgendermaßen: Wir benötigen folgende Seite zur Auswertung schädlicher Dateien: VirusTotal - Free Online Virus and Malware Scan Falls der Link einmal nicht funkioniert , schicke Mir bitte eine private Nachricht damit ich Dir Alternativen schicken kann. Gehe nun auf die Seite und lade dort folgende Dateien hoch: C:\WINDOWS\dpevflbg.dll C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe C:\WINDOWS\vadokmxt.dll C:\WINDOWS\wdpoefan.dll Poste uns von jeder Datei die Ergebnisse , auch wenn nichts gefunden wurde. Entfernung von einigen Antivirenscannern und anderen Programmen zur Schädlingsbekämpfung Zu viele Virenscanner auf einmal bremsen dein System aus. Entscheide Dich für einen Virenscanner und deinstalliere die anderen bitte. Auch bei anderen Programmen zur Schädlingsbekämpfung (wie z.B Ad-Adware , Spybot , Spyware Doctor usw.) entscheide Dich bitte für eines dieser Programme. Neues HiJackThis-Logfile Hast Du dieses HiJackThis-Logfile im abgesicherten Modus erstellt ? Wenn ja , erstelle bitte ein neues Logfile im normalen Modus und poste es uns bitte. |
Hallo, hier ist das frische Hijack-Logfile aus dem normalen Modus nachdem ich Combofix gemacht habe und das Combofix-Logfile auch noch dazu. Alles aus dem normalen Modus. Vielen Dank... _______________________________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:46:32, on 06.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\DWRCS.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\DWRCST.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: dpevflbg - {859D10F7-0E0F-43A8-8DF7-EC0466A40301} - C:\WINDOWS\dpevflbg.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKLM\..\Policies\Explorer\Run: [q5JCgPwvfE] C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: iexplore - eYrg4.dll (file missing) O21 - SSODL: wdpoefan - {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll O21 - SSODL: vadokmxt - {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9819 bytes ___________________________________________________________ |
und hier ist das Combofix-Logfile.... ich bin heute wie jeden Tag auf Arbeit und kann erst wieder heute Abend an meinen Rechner daheim ___________________________________________________________ ComboFix 08-05-01.3 - Toby 2008-05-06 0:00:11.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.244 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Toby\Desktop\Combo-Fix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\start.exe C:\WINDOWS\system32\Cache . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_6TO4 -------\Legacy_IPRIP -------\Service_6to4 -------\Service_Iprip ((((((((((((((((((((((( Dateien erstellt von 2008-04-05 bis 2008-05-05 )))))))))))))))))))))))))))))) . 2008-05-05 23:41 . 2008-05-05 23:41 <DIR> d-------- C:\ComboFix 2008-05-05 23:41 . 2008-05-05 23:42 <DIR> d-------- C:\CCleaner 2008-04-22 21:03 . 2008-05-05 23:56 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-22 21:02 . 2008-05-04 22:57 <DIR> d-------- C:\Programme\Spyware Doctor 2008-04-22 21:02 . 2008-04-22 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\PC Tools 2008-04-22 21:02 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-04-22 21:02 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-04-22 21:02 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-04-22 21:02 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-04-22 01:06 . 2008-04-22 01:06 <DIR> d-------- C:\Programme\Trend Micro 2008-04-21 18:44 . 2008-04-21 18:44 <DIR> d-------- C:\Programme\Lavasoft 2008-04-21 18:44 . 2008-04-21 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-04-21 17:57 . 2008-04-21 17:57 691,545 --a------ C:\WINDOWS\unins000.exe 2008-04-21 17:57 . 2008-04-21 17:57 2,547 --a------ C:\WINDOWS\unins000.dat 2008-04-21 16:41 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-04-21 16:41 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-04-21 16:41 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-04-21 16:41 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-04-21 15:38 . 2008-05-04 22:41 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\TmpRecentIcons 2008-04-21 14:31 . 2008-04-21 14:31 <DIR> d-------- C:\Programme\Quark 2008-04-21 14:14 . 2008-04-21 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hwtifkdm 2008-04-21 14:14 . 2008-04-21 13:48 258,048 --a------ C:\WINDOWS\wdpoefan.dll 2008-04-21 14:14 . 2008-04-21 13:48 221,184 --a------ C:\WINDOWS\vadokmxt.dll 2008-04-21 14:14 . 2008-04-21 13:48 184,320 --a------ C:\WINDOWS\dpevflbg.dll 2008-04-21 14:14 . 2008-04-21 13:48 102,400 --a------ C:\WINDOWS\olgdqarf.exe 2008-04-21 14:14 . 2008-04-21 13:48 90,112 --a------ C:\WINDOWS\wxvgsdbq.exe 2008-04-21 10:57 . 2008-04-21 10:57 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Quark 2008-04-21 10:55 . 2008-04-21 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Quark 2008-04-20 06:31 . 2008-05-04 22:41 <DIR> d-------- C:\Programme\Fujifilm 2008-04-06 05:52 . 2008-04-06 05:52 <DIR> d-------- C:\Programme\uTorrent 2008-04-06 05:52 . 2008-04-11 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\uTorrent . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-03 14:48 37,616 ----a-w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\wklnhst.dat 2008-04-22 22:46 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Skype 2008-04-22 22:04 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\skypePM 2008-04-22 22:00 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\AdobeUM 2008-04-21 19:34 --------- d-----w C:\Programme\Bonjour 2008-04-21 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-04-21 16:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-21 15:59 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-04-15 22:53 --------- d-----w C:\Programme\Lexmark X1100 Series 2008-04-15 20:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-04-13 19:54 --------- d-----w C:\Programme\ICQ 2008-04-09 15:14 --------- d-----w C:\Programme\Opera 2008-04-09 00:49 --------- d-----w C:\Programme\Vokabeltrainer 3 2008-03-24 01:36 --------- d-----w C:\Programme\Zylom Games 2008-03-24 01:36 --------- d-----w C:\Programme\Winamp 2008-03-24 01:33 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-24 01:33 --------- d-----w C:\Programme\Trillian 2008-03-24 01:33 --------- d-----w C:\Programme\T-Online 2008-03-24 01:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared 2008-03-23 18:38 --------- d-----w C:\Programme\xp-AntiSpy 2008-03-22 01:32 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Apple Computer 2008-03-22 01:31 --------- d-----w C:\Programme\iTunes 2008-03-22 01:31 --------- d-----w C:\Programme\iPod 2008-03-22 01:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-03-22 01:30 --------- d-----w C:\Programme\QuickTime 2008-03-22 01:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple 2008-03-13 11:56 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\DivX 2008-03-11 06:12 --------- d-----w C:\Programme\pdf24 2008-03-11 06:02 --------- d-----w C:\Programme\DivX 2008-03-11 05:46 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Talkback 2008-03-10 09:38 --------- d-----w C:\Programme\Safari 2008-03-10 09:36 --------- d-----w C:\Programme\Apple Software Update 2008-03-10 09:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-02-24 23:17 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-16 02:11 84,592 ----a-w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-04-22 16:31 23,286 ----a-w C:\Programme\SaarFun pic.jpeg 2005-04-20 20:12 9,616 ----a-w C:\Programme\oh, mein Gott! .jpeg 2005-04-19 22:17 29,594 ----a-w C:\Programme\lustig askldhbfakld.jpeg 2005-04-19 01:52 1,734 ----a-w C:\Programme\tobsi-kn.jpeg 2005-04-19 01:41 17,572 ----a-w C:\Programme\Rasta Surprise pic.jpeg 2005-04-19 01:40 26,156 ----a-w C:\Programme\Raser pic.jpeg 2005-04-18 17:57 36,803 ----a-w C:\Programme\cher hsdtr.jpeg 2005-04-18 17:56 30,052 ----a-w C:\Programme\cher e.jpeg 2005-04-18 02:08 36,155 ----a-w C:\Programme\schmetterling 2 gafga.jpeg 2005-04-18 02:08 29,867 ----a-w C:\Programme\schmetterling 2 gare.jpeg 2005-04-18 02:08 26,110 ----a-w C:\Programme\schmetterling 2 342.jpeg 2005-04-18 02:07 39,706 ----a-w C:\Programme\schmetterling 2 fseage.jpeg 2005-04-18 02:07 32,264 ----a-w C:\Programme\schmetterling 2 agfsdgaf.jpeg 2005-04-18 02:07 30,028 ----a-w C:\Programme\schmetterling 2 e.jpeg 2005-04-18 02:07 26,564 ----a-w C:\Programme\schmetterling 3.jpeg 2005-04-18 02:06 29,510 ----a-w C:\Programme\schmetterling 2.jpeg 2005-04-18 02:06 21,871 ----a-w C:\Programme\schmetterling.jpeg 2005-04-18 02:06 20,320 ----a-w C:\Programme\libelle.jpeg 2005-04-18 02:06 13,210 ----a-w C:\Programme\butterfly.jpeg 2005-04-15 16:58 3,130,340 ----a-w C:\Programme\DCPlusPlus-0.674.exe 2004-03-28 05:15 752,118 ----a-w C:\Programme\uleadphotoimpactxlv8.5trialdeutschpatchbidjan.zip 2004-03-28 05:15 43,907,891 ----a-w C:\Programme\ulead pixl_t_g fftp.exe 2004-03-26 21:01 913 ----a-w C:\Programme\INSTALL.LOG 2003-12-25 00:14 271,466 ----a-w C:\Programme\cd-client-4_8_0-en.exe 2003-12-24 16:23 1,897,672 ----a-w C:\Programme\winzip81.exe 2003-12-06 02:07 2,614,512 ----a-w C:\Programme\aimde51.exe 2003-12-06 01:11 2,592,044 ----a-w C:\Programme\trillian-v0.74f.exe 2003-10-21 19:00 1,905,072 ----a-w C:\Programme\icqlite_german.exe 2003-10-08 21:40 1,294,624 ----a-w C:\Programme\WindowsXP-KB823980-x86-DEU.exe 2003-10-08 21:25 4,184,576 ----a-w C:\Programme\avwinsfx.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{859D10F7-0E0F-43A8-8DF7-EC0466A40301}"= "C:\WINDOWS\dpevflbg.dll" [2008-04-21 13:48 184320] [HKEY_CLASSES_ROOT\clsid\{859d10f7-0e0f-43a8-8df7-ec0466a40301}] [HKEY_CLASSES_ROOT\dpevflbg.1] [HKEY_CLASSES_ROOT\TypeLib\{486966C8-91EF-4511-B1E6-9140EF231857}] [HKEY_CLASSES_ROOT\dpevflbg] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 15:27 176128] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "q5JCgPwvfE"= C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoRecentDocsNetHood"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au] "NoAutoUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "wdpoefan"= {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll [2008-04-21 13:48 258048] "vadokmxt"= {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll [2008-04-21 13:48 221184] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ComPlusSetup] C:\WINDOWS\System32\catsrvut.dll 2004-08-04 09:57 628224 C:\WINDOWS\system32\catsrvut.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore] eYrg4.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.SP54"= SP5X_32.DLL "VIDC.SP55"= SP5X_32.DLL "VIDC.SP56"= SP5X_32.DLL "VIDC.SP57"= SP5X_32.DLL "VIDC.SP58"= SP5X_32.DLL [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe "VoipBuster"="C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized "InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime "Prism_Utility"=Prismsta.exe "InCD"=C:\Programme\Ahead\InCD\InCD.exe "AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" "PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" "spywarefighterguard"=C:\Programme\SPYWAREfighter\spftray.exe "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" -lang 1033 "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_04\bin\jusched.exe "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"= "C:\\Programme\\AOL 9.0\\waol.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"= "C:\\WINDOWS\\system32\\CNAB4RPK.EXE"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung "3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 01:43] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 01:43] R1 prodrv03;Star Force copy protection driver v3;C:\WINDOWS\system32\drivers\prodrv03.sys [2005-07-07 05:49] R1 vcdmpdrv;vcdmpdrv;C:\WINDOWS\system32\DRIVERS\vcdmpdrv.sys [2002-08-20 12:33] R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 17:29] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 11:04] R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\System32\Drivers\USBCRFT.SYS [2004-06-20 00:41] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 11:47] R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 13:07] S2 Ca533av;Cam 3200, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 17:27] S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 17:41] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [] S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 16:03] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46] S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58] S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 10:31] S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 18:13] S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-12-04 14:38] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . Inhalt des "geplante Tasks" Ordners "2008-04-04 15:19:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe "2008-03-10 09:37:13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-06 00:06:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\scardsvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\DWRCS.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\snmp.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Virtual CD v4\System\VCDSecS.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\WINDOWS\system32\DWRCST.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-06 0:13:50 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-05 22:13:43 23 Verzeichnis(se), 29,182,423,040 Bytes frei 25 Verzeichnis(se), 29,271,187,456 Bytes frei 273 ____________________________________________________________________ Ich hoffe die Probleme lassen sich erfolgreich beheben Vielen Dank und liebe Grüße :) |
okay, ich habe schon letzte Woche zwei Spyware Programme gelöscht und weiß jetzt nicht, welches ich behalten soll, für Spydoktor habe ich ja Geld bezahlt, aber ich wäre auch bereit es zu löschen, falls entweder Ad-Aware oder Spybot Search&Destroy besser wäre. Was würdet ihr mir denn empfehlen draufzulassen? Oder brauche ich sogar ein ganz anderes? Virenscanner habe ich nur einen von Avira, sonst nichts. Vielen Dank bis heute Abend :) |
Hi, lade die beiden Dateien bitte mal bei virustotal hoch: Zitat:
Hast du Windowsfirewall und die automatischen Updates deaktiviert? bitte mit folgendem noch ein Log erstellen: Smitfraudfix. Dabei erstmal nur den Abschnitt "Suche" abarbeiten. lg myrtille |
Hallo, so, da bin ich wieder, hab die Dateien erstmal kopiert. Eine explorer32.exe hab ich nicht gefunden! Aber alle 3 anderen. Hier die erste Datei bei Virustotal: _______________________________________________________ Datei dpevflbg.dll empfangen 2008.05.06 23:11:57 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 17/31 (54.84%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 52 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.3.0 2008.05.06 - AntiVir 7.8.0.11 2008.05.06 ADSPY/AdSpy.Gen Authentium 4.93.8 2008.05.06 - Avast 4.8.1169.0 2008.05.06 Win32:Vapsup-CE AVG 7.5.0.516 2008.05.06 Downloader.Zlob.SE BitDefender 7.2 2008.05.06 - CAT-QuickHeal 9.50 2008.05.06 - ClamAV 0.92.1 2008.05.06 Trojan.Agent-21800 DrWeb 4.44.0.09170 2008.05.06 Trojan.Popuper.5480 eSafe 7.0.15.0 2008.05.06 - eTrust-Vet 31.3.5763 2008.05.06 Win32/Pripecs!generic Ewido 4.0 2008.05.06 - F-Prot 4.4.2.54 2008.05.06 - F-Secure 6.70.13260.0 2008.05.06 Trojan.Win32.Vapsup.ehj Fortinet 3.14.0.0 2008.05.06 W32/Vapsup.EHJ!tr Ikarus T3.1.1.26.0 2008.05.06 AdWare.NetAdware.CW Kaspersky 7.0.0.125 2008.05.06 Trojan.Win32.Vapsup.ehj McAfee 5289 2008.05.06 - Microsoft 1.3408 2008.05.06 Adware:Win32/Vapsup NOD32v2 3080 2008.05.06 - Norman 5.80.02 2008.05.06 W32/Vapsup.gen3 Panda 9.0.0.4 2008.05.06 - Prevx1 V2 2008.05.06 Malware Downloader Rising 20.43.12.00 2008.05.06 - Sophos 4.29.0 2008.05.06 - Sunbelt 3.0.1097.0 2008.05.06 - Symantec 10 2008.05.06 Downloader.Zlob!gen.2 TheHacker 6.2.92.300 2008.05.03 Trojan/Vapsup.ehj VBA32 3.12.6.5 2008.05.06 Trojan.Win32.Vapsup.ehj VirusBuster 4.3.26:9 2008.05.06 - Webwasher-Gateway 6.6.2 2008.05.06 Ad-Spyware.AdSpy.Gen weitere Informationen File size: 184320 bytes MD5...: 20579bdc1871ae32a7e369db99c552be SHA1..: edf00f4e8f8b79e0f66ed283f772df431289b596 SHA256: bf5432be789860eb209fc844bf6369b59b1550984e8c22063970b2a3f698f753 SHA512: 2248e93c513e664a6c30ea94fd31379ac8c04d69b35b460c6ce1c81edd20bbee 979d5069ebfe9304233d37b2343623dacce90ebaa0ba4c1a9c907199236af6af PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10012149 timedatestamp.....: 0x480c7866 (Mon Apr 21 11:20:06 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1dda9 0x1e000 6.51 8b3c70cb888eca9c2da21876fdffce26 .rdata 0x1f000 0x6545 0x7000 4.86 4538fd4631f481554eaeaf8d4a093ed8 .data 0x26000 0x38a0 0x2000 3.64 c36fde7eb190c2d71e22a080c83cde0f .rsrc 0x2a000 0x1d20 0x2000 4.32 4f4f71e2da7ee59508da025641015813 .reloc 0x2c000 0x2672 0x3000 4.29 6fbeb7b9238855f9ed2fd3018e78cd9f ( 6 imports ) > COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy > KERNEL32.dll: GetLastError, RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetModuleHandleW, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, lstrlenW, InterlockedIncrement, InitializeCriticalSection, DisableThreadLibraryCalls, GetModuleFileNameW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, ExitProcess, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA > USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW > ADVAPI32.dll: RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCloseKey, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW > ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc > OLEAUT32.dll: -, -, -, -, -, -, -, -, - ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7B5EE797001A4E1BD0D00242066EB500F9A6BC5C |
und hier die nächste Datei: _________________________ Datei vadokmxt.dll empfangen 2008.05.06 23:23:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 15/31 (48.39%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.3.0 2008.05.06 - AntiVir 7.8.0.11 2008.05.06 ADSPY/AdSpy.Gen Authentium 4.93.8 2008.05.06 - Avast 4.8.1169.0 2008.05.06 Win32:Vapsup-BU AVG 7.5.0.516 2008.05.06 - BitDefender 7.2 2008.05.06 - CAT-QuickHeal 9.50 2008.05.06 - ClamAV 0.92.1 2008.05.06 Trojan.Agent-21798 DrWeb 4.44.0.09170 2008.05.06 - eSafe 7.0.15.0 2008.05.06 - eTrust-Vet 31.3.5762 2008.05.06 Win32/Pripecs!generic Ewido 4.0 2008.05.06 - F-Prot 4.4.2.54 2008.05.06 - F-Secure 6.70.13260.0 2008.05.06 Trojan.Win32.Vapsup.ehj Fortinet 3.14.0.0 2008.05.06 W32/ZLOB.AZH!tr Ikarus T3.1.1.26 2008.05.06 Virus.Win32.Agent.LTS Kaspersky 7.0.0.125 2008.05.06 Trojan.Win32.Vapsup.ehj McAfee 5289 2008.05.06 - Microsoft 1.3408 2008.05.06 - NOD32v2 3080 2008.05.06 Win32/Adware.Vapsup Norman 5.80.02 2008.05.06 - Panda 9.0.0.4 2008.05.06 - Prevx1 V2 2008.05.06 Malware Downloader Rising 20.43.12.00 2008.05.06 Trojan.DL.Win32.QQHelper.bdp Sophos 4.29.0 2008.05.06 - Sunbelt 3.0.1097.0 2008.05.06 - Symantec 10 2008.05.06 Downloader.Zlob!gen.2 TheHacker 6.2.92.300 2008.05.03 Trojan/Vapsup.ehj VBA32 3.12.6.5 2008.05.06 Win32.Adware.Vapsup VirusBuster 4.3.26:9 2008.05.06 - Webwasher-Gateway 6.6.2 2008.05.06 Ad-Spyware.AdSpy.Gen weitere Informationen File size: 221184 bytes MD5...: 3b5e097228033398215668e1cf907939 SHA1..: 6c1e17f0f72968a4f3f75ba5e97d1abbb6a016a8 SHA256: 5fc7bf6b233d517d37450ebe1da5aab8fd39c6a756df4d7b5143880cb53cdf34 SHA512: 93af621af3c1de798bcdc68bde23e79c412db24ffe574246103be129157f59dc e3ee7eeaea88c62b6a170872100c671093baa029ddb6a7306c444716327d643f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000da88 timedatestamp.....: 0x480c6862 (Mon Apr 21 10:11:46 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2efa6 0x2f000 6.38 116ef35ef7e786b0f0e5795b05c60109 .data 0x30000 0x2eac 0x2000 1.57 8a4853ca6e168b109f413f24c0555f28 .rsrc 0x33000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .reloc 0x34000 0x24d0 0x3000 4.01 0f0c2c74cf7ae7317c9b6c75b651287d ( 4 imports ) > KERNEL32.dll: Sleep, GetLastError, CloseHandle, GetSystemTime, CreateEventW, WaitForSingleObject, MultiByteToWideChar, LoadLibraryW, SystemTimeToFileTime, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, WriteFile, SetFileTime, GetProcAddress, FindClose, SetFilePointer, FindFirstFileW, SetEndOfFile, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, HeapSize, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FlushFileBuffers, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW > ole32.dll: CoInitialize > SHLWAPI.dll: SHDeleteKeyW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F6FC56CF0039FDAB6022031A7E7E630084D8BBBF |
hier die dritte Datei: _______________________ Datei wdpoefan.dll empfangen 2008.05.06 23:32:35 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 15/31 (48.39%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 49 und 70 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.3.0 2008.05.06 - AntiVir 7.8.0.11 2008.05.06 ADSPY/Agent.PB Authentium 4.93.8 2008.05.06 - Avast 4.8.1169.0 2008.05.06 Win32:Agent-LTS AVG 7.5.0.516 2008.05.06 - BitDefender 7.2 2008.05.06 - CAT-QuickHeal 9.50 2008.05.06 - ClamAV 0.92.1 2008.05.06 - DrWeb 4.44.0.09170 2008.05.06 Trojan.Popuper.5482 eSafe 7.0.15.0 2008.05.06 - eTrust-Vet 31.3.5762 2008.05.06 - Ewido 4.0 2008.05.06 - F-Prot 4.4.2.54 2008.05.06 - F-Secure 6.70.13260.0 2008.05.06 Trojan.Win32.Vapsup.ehj Fortinet 3.14.0.0 2008.05.06 W32/ZLOB.AZR!tr Ikarus T3.1.1.26 2008.05.06 Virus.Win32.Agent.LTS Kaspersky 7.0.0.125 2008.05.06 Trojan.Win32.Vapsup.ehj McAfee 5289 2008.05.06 - Microsoft 1.3408 2008.05.06 Trojan:Win32/Zlob.AI NOD32v2 3080 2008.05.06 - Norman 5.80.02 2008.05.06 - Panda 9.0.0.4 2008.05.06 - Prevx1 V2 2008.05.06 Malware Downloader Rising 20.43.12.00 2008.05.06 Trojan.Win32.Zlob.ajl Sophos 4.29.0 2008.05.06 Vapsup Sunbelt 3.0.1097.0 2008.05.06 - Symantec 10 2008.05.06 Downloader.Zlob!gen.2 TheHacker 6.2.92.300 2008.05.03 Trojan/Vapsup.ehj VBA32 3.12.6.5 2008.05.06 Trojan.Win32.Vapsup.ehj VirusBuster 4.3.26:9 2008.05.06 - Webwasher-Gateway 6.6.2 2008.05.06 Ad-Spyware.Agent.PB weitere Informationen File size: 258048 bytes MD5...: a08747a96fbb11e30f994b599f2a6a37 SHA1..: c228fe1249a8b6d9d827ce6eda3a20b73ffeed8e SHA256: 291bb79f61bdc304253962e48d0f8e727b0645549084f6ac26c70022bfabdd8f SHA512: c1d0be6771465135d743cf556f557fc9760ea0f7b8e95933c3558dbddf5b8336 1b5112352c7493e36b7b13a1f03eced952b2f0dc77b0545789ee20910db08bee PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000faba timedatestamp.....: 0x480c6f01 (Mon Apr 21 10:40:01 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x32a2c 0x33000 6.39 4453e0fd9be27a3c2f6a06e71c334dee .data 0x34000 0x32c0 0x2000 2.59 b4c69a63b99560d041aaabdc29d8d6e0 .rsrc 0x38000 0x51e0 0x6000 4.10 53795bf5b0a0764d6cef511602afcaf6 .reloc 0x3e000 0x24d8 0x3000 4.11 73c321245da994d7195a2f2fa2b5f33e ( 5 imports ) > KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA > USER32.dll: MessageBoxW, GetDesktopWindow, GetWindow > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW > ole32.dll: CoInitialize > SHLWAPI.dll: SHDeleteKeyW ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=901D51B9003758D0F0F903BE5C58F700A9FBD8A1 |
okay, vielen Dank dann werde ich die Datei so suchen und den Smitfraudexe drüberlaufen lassen. Bis morgen dann... :balla: |
Hi, Was passiert denn wenn du bei virustotal in das Fenster folgenden Text eingibst (einfach abkopieren und einfügen): Zitat:
Sry für die Umstände, aber wir müssen erstmal wissen was aufm Rechner ist bevor wir es entfernen können. lg myrtille |
Hi, vielen Dank für die Mühe... ich hab mir gestern auch Mühe gegeben und wollte die explorer32.exe finden, habe aber auch nach Veränderung der Einstellungen nichts finden können. Die andere Datei (aY...dll) war auch nicht zu finden. Habe dann aber die dpevflbg.dll gelöscht und wollte die vadokmxt.dll und die wdpoefan.dll auch löschen, das ging aber leider nicht. Bin auch sicherheitshalber mit dem Rechner garnicht mehr online (hab immer alles über den Memorystick erledigt). Aber wenn es nicht schadet, würde ich es dann machen, damit Virustotal so zugreifen kann. Habe auch ganz verpaßt, die Windowsupdates zu machen und ne Firewall hab ich von Windows, die, die dabei war. Hier ist die Suche von der Smitfraudfix.exe: Viele Grüße _______________________________________________________________ SmitFraudFix v2.317 Scan done at 1:09:50,70, 07.05.2008 Run from C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\DWRCS.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\Explorer.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\DWRCST.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Toby »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Toby\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Toby\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri [!] Suspicious: wdpoefan.dll SSODL: wdpoefan - {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: VIA VT6105 Rhine III Fast Ethernet Adapter DNS Server Search Order: 141.70.104.1 DNS Server Search Order: 141.37.218.10 HKLM\SYSTEM\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer=141.70.104.1,141.37.218.10 HKLM\SYSTEM\CS1\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer=141.70.104.1,141.37.218.10 HKLM\SYSTEM\CS3\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer=141.70.104.1,141.37.218.10 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
Hi, Smitfraudfix wird fündig, die Bereinigung wird allerdings wohl nicht ganz vollständig sein, da einige Dateien bereits gelöscht wurden.
Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier lg myrtille |
vielen Dank für die Anleitung, ich werde es heute Abend gerne so machen... :aplaus: soll ich die gelöschte Datei wieder in den Windows-Ordner einfügen? Ich hab alles vor dem Löschen auf die externe Festplatte gespeichert... Viele Grüße |
Nein, lass das lieber. :D Es dreht sich bei der Sache hauptsächlich um Registryeinträge, diese kann man auch problemlos mit Hijackthis entfernen. Ich würde dich aber in Zukunft bitten nur die Sachen zu löschen, wo du darum gebeten wurdest. ;) lg myrtille |
HILFE!!! nachdem ich die Smitfraudfix.exe und SDFix.exe gestartet und damit gereinigt habe, fährt der Rechner nicht mehr richtig hoch. Schon während dem Reinigungsprozess von SDFix.exe (also nach dem Start der RunThis.bat) hat der Computer mehrere Anläufe gebraucht, um wieder zu starten, zwischendurch ist er während dem Startprozess immer wieder abgestürzt. Dann hat er es doch geschafft hochgefahren zu bleiben, Windows ist dann aber nach circa 10 Minuten einfach so abgestürzt. Seit dem geht das System nur noch im abgesicherten Modus zu starten, wenn ich im normalen Modus starten will, dann stürzt Windows immer nach dem blauen "Willkommen" Bildschirm ab, wenn die Sanduhr läuft und startet dann wieder neu. Wenn es Windows nach mehrmaligen Versuchen dann doch schafft, hochzukommen, läuft es nur sehr instabil. Ich habe dann im abgesicherten Modus eine Systemwiederherstellung vom 5. Mai gemacht, doch das hat auch nichts geholfen, das wiederhergestellte Windows lief nur direkt nach der Herstellung stabil, aber nach ausmachen und wieder neu hochstarten kam das Problem dann doch immer wieder. Weiß jetzt garnicht, was ich machen soll, hier sind aber erstmal die Reportdateien... Hoffe ihr könnt mir jetzt noch weiterhelfen... Vielen Dank :heulen: |
SmitFraudFix v2.317 Scan done at 23:40:14,29, Fr 09.05.2008 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri C:\WINDOWS\wdpoefan.dll deleted. »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer=141.70.104.1,141.37.218.10 HKLM\SYSTEM\CS1\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer=141.70.104.1,141.37.218.10 HKLM\SYSTEM\CS3\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer=141.70.104.1,141.37.218.10 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
SDFix: Version 1.180 Run by Administrator on Sa 10.05.2008 at 00:16 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Restoring Default HomePage Value Restoring Default Desktop Components Value Rebooting Checking Files : Trojan Files Found: C:\Dokumente und Einstellungen\Toby\Desktop\Error Cleaner.url - Deleted C:\Dokumente und Einstellungen\Toby\Favoriten\Error Cleaner.url - Deleted C:\Dokumente und Einstellungen\Toby\Desktop\Privacy Protector.url - Deleted C:\Dokumente und Einstellungen\Toby\Favoriten\Privacy Protector.url - Deleted C:\Dokumente und Einstellungen\Toby\Desktop\Spyware&Malware Protection.url - Deleted C:\Dokumente und Einstellungen\Toby\Favoriten\Spyware&Malware Protection.url - Deleted C:\WINDOWS\vadokmxt.dll - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-10 00:32:14 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwClose scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41] "khjeh"=hex:20,02,00,00,b0,51,15,3c,8e,00,6d,83,19,33,18,df,48,d1,7c,43,4b,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42] "khjeh"=hex:20,02,00,00,51,51,15,3c,31,72,a3,bc,00,26,ea,77,a3,15,76,c9,9a,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43] "khjeh"=hex:20,02,00,00,41,51,15,3c,c1,cb,2c,63,90,ff,ff,ff,f3,02,1e,49,ea,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System] "OODEFRAG06.00.00.01WORKSTATION"="8BCD46326251B433CE513EE5F7E52A8933BF2AFA4694A42FA6D4232723EBAEC6628AE8C0504CBADDB0B07BE68F2CBEF5FEBC9E127BECC74CFEBC 9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C9DB7CE019D40AA5CA6171C11EC38DE3DA2D97226D213B555A9C6AECB7A5D1407F9BE5E37D7 2C9D9826FB565B4836A4E13FA2919EBBDE6C6B9C3BBF6E65252E5485959F2188E16EEAF7DC1B9C8E8E213E891376C72CDAE079CECA8DD00B17358BD43AA243166FEB2AAC1ABE68C5EE7C9A 07589B80045DFC50DD1729439F642FD4ADFC9538CF0A8F8B42D8ED56C274FE398D8B4FFD438A7DDF99CF20386C5666EDF84565CF663DD2BAD9559A33C01078D11A5E22A8CE561E0D763A47 D59B84AC08458A498E6FEB3AD43ADBF87FDD05B70EC812EA206B8BA3308C2EB4F53FDF54C6405B37A963C748EB4C50836F9C6F140E5F7E4434C6475494181843A74A2B344542D76B102158 85861F27756B63B867E5C1100D6A6EFBFAF9F678912E177CA90F41B467DD6879801D64EC52117CA38E1A7DC466FD576E6516AE6285FDE0BD93255CBD6FE8DFDBC61FF03E5D3016446C273F B0355AD8B9E50F677FC2C447AE567D524E89B79103706EBF4EA04DC38365FCDBF9A6222C4AD482EB0CB75E50E2D7808AD70306E8C513E0EEE2E9207A9D637C49DC26AB73E20CFDADD7905E E3BF850B0CDFEDC33851CDBFBED6C8969425D3FDA228E67E3118E9083E47C20BCD81CDEE05001C93B52440CA97189351D27CA84C27BF5F594C55519758D184DFBE36257045E3A54D79130E B28128E22354DD5827B81AC92D1057A8995685508A4B3F824842CF677D0245E09D2B1E941622D45BC0DEC3A3A0AC31DAECB601E7ECEB5562A3949681E2303666A5E4244866244430BFC45A AF0C35C656E5A0794A1EFC82C42579225870C8B64D5927F8E404ABDED73FB892737EA1D18E4D5937C2693EA5ABDF517094CE7669CB3A8A6E131469AF584F2E33B9B6CB6279DD4E9559CCD5 F1205DA112A058C547993FCC6A3F6EF311BB72BB17112D74D891488E855FF94AECAC9B14AC2E9DA81BF351CF681B21C5348E1F1DAD4A8A3F6A56B04E0CE6598872628A7378B0E074859B4E 1A759B6B3D9F62C1AF7B7CAAB121492F6640C683E1315390B2C3601BE1F85488D5B37AC11D2B4E38F71601A1B9DBF1CF504E1BC70AAB9804E4703A778E3E66474FD934CC0B82EB551B29F5 B324CBD912ADF743A918394D34C472FCD57CF0204379330AE991285761E5F3BFD9A67591EA4290E0DD0B8311E22D542D481181D12AEA9C81289FEFB31645CA8242D734A9C176005CCFC10B 86C12131949794B24F1F5C09634E878126A2CD93A7CEB1B63AF1D4C2DF9E00A0D6FC44BDBC3EB69DF1382C7E3DD100DC58AB364A5F15167CDD4D8EE9DB1CEF6C2D30" "OODEFRAG08.00.00.01WORKSTATION"="B7C9118F7256BEE73272B6F603E1399F9065763A51C7B8A538641FA84004DFB50C94E6A86F2144850A91B763528CDC76C58DBCF884014150A583 D74479063F138200D0B8F775B6517DE9FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A2D972 26D213B555A6171C11EC38DE3DC038D530D6EB3452544F83FC72B188B58E43F37D3C213B5FFBB8EDCF98DCD01853B1E2B38D638D5807D75E60DD56E1CAF7510D04E6D05B2483A48167505C 5401D734D31113EBF45B9D3E0E06BE690F0B737A671025D83BDAAFBBD19946025428802655980E333418CF7C3F87680BCF567B6B1D7322D8166CE178851117102A2134793A6DB3BD5FEAA6 919421C49E967360D33B241BB75D29CCDFB71DF68CE364AB1ECBD74D53C2940083A035524C8C8AC5E946BB631E34427A7578B0ADC0C34BF58AC444B4FCDBBA9157EE4621810B2A2465B178 DFF8F34E48434AE216BA3E96733BD5425C8CDCE2DF1BF9FED6ED24C14703E83C8C79A946E657A46D9ECDFCE9DAAE2285C8932E7BC7DBB42BAB0619A84E83490D7514940BDA43F0304B10DE 4BB5E5C2E590E868D475AF043DED00E2182DABA514BE83A9DD7B1C102EB45AF3A7E169435FDF28DAA26D2D40487FDA2CACABC442209D4391E577FCD48D044C024D9143A412F8B108FD85EE 3587D454D569E41A5B245D95A9ABCE81841AF8C603704A00D8432FA6A6E2E99627D5777171314A7D9E335BFE011FD6CCDB42E7712428E436C9D76A6FA031974748B3837BC7CE9E42AB880A 49DC1238838918B6B4C6EE1079535EA6B615AEE2A74348AC7CD46FF8C29B837002B63B6E50B05461BF81264DE5C30575EBD5037164B4DA36C647A5C6D9F72428F839B5CC61E751F7859C8F F219E021F8C2EA3A3FACACD8F86C82E446693C90DF44C6FD7566BA0D9CBA9553A9B663A86C310D4519343153E4471E088CD65D93593C7178E29628AA87D89EFCF06474B999F1ABF7A4323B 7E79F2664B8009BF9A6AFE84E9E02AA17182219DFA98CDB613E106698B566338B3CBCE5A515D6D3E36FEEC7B7E9060114CED922BA14721BC19B9AF1D9B790707EF0500AC1FB474A61F14AB 854367F9CE4ABC7595A877118FD229F5CFA9AD607FD3E36EC51DE812BA2DBCA4092B2DBCAB9DF6D2DC2A75D42BECCC244198E3B7E9A438C5421A32C131DE1E849D0BFE72E99EB778B826E4 A5FDB65349E4B1655782CB67776FC69C7D3256F3BC9020CD684046ACF91201B9446DA482B85E22CA907A546CB553B886C5DED88B8161075D71DA349BAC05803FF0D14E328A0B7804367670 D17AA3E826A046D1474D45C2C8E1D7ACD92A64511274F6EF4F97F8AAD39F11F53B02CBB5011770CC9CDBA339FA144A9453D1368125979CE9D9806810502AD5DBDC4A" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0" "C:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"="C:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe:*:Enabled:VoipBuster" "C:\\WINDOWS\\system32\\CNAB4RPK.EXE"="C:\\WINDOWS\\system32\\CNAB4RPK.EXE:*:Enabled:Canon LBP2900 RPC Server Process" "C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL" "C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 10 May 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe" Mon 10 May 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe" Mon 10 May 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe" Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\Messenger\msmsgs.exe" Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe" Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" Thu 2 Nov 2006 32,768 A..H. --- "C:\Programme\Vokabeltrainer 3\ImportVT2.exe" Thu 28 Sep 2006 77,824 A..H. --- "C:\Programme\Vokabeltrainer 3\Interop.DAO.dll" Thu 29 Jul 2004 202,240 A..H. --- "C:\Programme\Vokabeltrainer 3\lame.exe" Fri 18 Mar 2005 53,248 A..H. --- "C:\Programme\Vokabeltrainer 3\Microsoft.DirectX.AudioVideoPlayback.dll" Fri 18 Mar 2005 223,232 A..H. --- "C:\Programme\Vokabeltrainer 3\Microsoft.DirectX.dll" Fri 18 Mar 2005 178,176 A..H. --- "C:\Programme\Vokabeltrainer 3\Microsoft.DirectX.DirectSound.dll" Fri 18 Mar 2005 473,600 A..H. --- "C:\Programme\Vokabeltrainer 3\Microsoft.DirectX.Direct3D.dll" Sat 27 Mar 2004 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Fri 2 Apr 2004 401 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv18.bak" Mon 24 Mar 2008 74,752 ...H. --- "C:\Dokumente und Einstellungen\Toby\Eigene Dateien\~WRL0005.tmp" Sat 10 May 2008 168 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Finished! |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:49:54, on 10.5.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: dpevflbg - {859D10F7-0E0F-43A8-8DF7-EC0466A40301} - C:\WINDOWS\dpevflbg.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKLM\..\Policies\Explorer\Run: [q5JCgPwvfE] C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: iexplore - eYrg4.dll (file missing) O21 - SSODL: wdpoefan - {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll O21 - SSODL: vadokmxt - {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6951 bytes |
Hi, deaktiviere bitte mal den automatischen Neustart indem du unter Start->Systemsteuerung->Erweitert->Start & Wiederherstellen auf Einstellungen->Haken bei "automatischen Neustart durchführen" rausnehmen. Damit sollte beim nächsten Absturz ein blauer Bildschirm kommen, auf dem eine Fehlermeldung steht. Diese bitte komplett abschreiben und hier posten. lg myrtille |
Hallo, hier ist der Text vom blauen Bildschirm: " Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird. Wenn Sie diese Fehlermeldung zum ersten mal angezeigt bekommen, sollten Sie den Computer neu starten. Wenn diese Meldung weiterhin angezeigt wird, müssen Sie folgenden Schritten folgen: Stellen Sie sicher, daß ausreichend Festplattenspeicherplatz verfügbar ist. Deaktivieren Sie den Treiber oder fragen Sie den Hersteller nach einem Update, falls ein Treiber in der Nachricht angegeben ist. Tauschen Sie die Videokarten aus. Fragen Sie Ihren Hardwarehersteller nach BIOS-Updates. Deaktivieren Sie BIOS-Speicheroptionen wie Caching oder Shadowing. Starten Sie den Computer neu, drücken Sie die F8-Taste, um die erweiterten Startoptionen auszuwählen, und wählen Sie dann "Erweiterte Startoptionen", falls Sie den abgesicherten Modus zum Löschen oder Deaktivieren von Komponenten verwenden müssen. Technische Informationen: *** STOP: 0x0000008E (0xC0000005, 0x80550AE2, 0xB21AB820, 0x00000000) " |
Als der Spyware Doctor letzte Woche meinen Computer gescannt hat (immer wenn ich ihn drüberlaufen ließ, um die nervigen Popups zu löschen) hat er einen "Adware.Agent.BN" festgestellt, der hat die Desktop Icons "Privacy Protector", "Error Cleaner" und "Spyware + Malware Protection" auf meinen Desktop gestellt und war laut Spyware Doctor in der "Microsoft/VideoPlugin" vorhanden. Kann ja vielleicht sein, daß sich der Trojaner da in einen Treiber festgebissen hat, den nun das Reinigungsprogramm gelöscht hat und somit der Trojaner einiges mitgerissen hat, oder? Muß ich wieder was neu installieren, eventuell Windows komplett neu drüberinstallieren? Oder einige Dateien von der Sicherungsfestplatte neu rüberkopieren? Ich kann auch die Festplatte, wo C: D:und E: drauf sind ausbauen und dann über einen anderen Rechner das System wieder reparieren... Also danke erstmal und viele Grüße... |
Hi es könnt daran liegen, dass smf einen Eintrag in der Registry geändert hat. Rufe über Start->Ausführen->Regedit auf und navigiere zu folgendem Schlüssel: Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]Wenn nicht, dann erstelle bitte zuerst eine Sicherung der Registry, indem du sie nach Datei->exportieren->backup.reg exportierst. Mache dann einen Rechtsklick in den rechten Teil von regedit, ein Fenster mit dem Titel "neu" sollte erscheinen. Wähle dort "Wert der mehrteiligen Zeichenfolge" aus und nenne ihn "userinit". Wenn du den Wert erstellt hast, mache einen Rechtsklick auf den Wert und klicke auf "Ändern". Es sollte ein Fenster mit dem Titel "Zeichenfolge bearbeiten" erscheinen. Unter dem Feld "Namen" steht "userinit" und das Feld "Wert" ist noch leer. Kopiere Folgendes in das Feld "Wert": Code: C:\WINDOWS\system32\userinit.exe,Die beiden Programme haben an sich keine Treiber entfernt, zumindest geht das aus den Logs hervors. lg myrtille |
Hallo, der Eintrag "userinit" hat sich in der Registry schon befunden, ich konnte also nichts machen, außer ein Backup von der Registry zu erstellen... Das Problem, daß ich den normalen Windowsmodus nicht mehr starten kann, besteht natürlich noch weiterhin. Was soll ich als nächstes tun? Vielen Dank und noch ein schönes Pfingstwochenende! Viele Grüße |
... was ich noch anmerken wollte: Das Herunterfahren von Windows dauert nach Auftreten des Problems (also nach der Reinigungsaktion mit smf und sdfix) irrsinnig lange, manchmal 3 Minuten... |
Hi, um auszuschließen, dass die Probleme von deinem Befall herrühren, würde ich dich bitte erstmal folgendes durchzuführen: Rufe Hijackthis auf und fixe folgende Einträge: Zitat:
Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Poste auch ob sich das verhalten deines Rechners verändert hat. Die Fehlermeldung ist vollständig,oder? Da fehlt keine Zeile, die die Datei nennt, die den Absturz verursacht? lg myrtille |
Ich hab alles, was auf dem blauen Bildschirm gestanden hat genau abgeschrieben, nichts hat gefehlt und danach kam auch nichts mehr. |
Schade.;) Habe ich mir allerdings schon gedacht. ;) Die Tools dürften einen solchen Fehler nicht hervorrufen, insbesondere Smitfraudfix behandelte kaum/keine Treiber. Die gelöschten Dateien sind auch im Log einsehbar, da ist nichts dabei, was zu Windows gehören würde. Das einzige, was verändert wurde, ist eben der vorhin erwähnte Registryschlüssel, der aber wohl von Windows neuerstellt wurde. Allerdings scheint es bereits bei der Installation des Trojaners bei dir Unregelmäßigkeiten gegeben zu haben. Die Symptome die du beschreibst sind ungewöhnlich. Ich schau mal, dass ich da weitere Informationen erhalte. lg myrtille |
So, hab das jetzt alles so gemacht. Der Computer geht immernoch nicht normal hochzustarten und hat über 8 Minuten gebraucht, um runterzufahren. Außerdem verändert sich die Fehlermeldung im blauen Bildschirm bei den technischen Informationen, zwei Infos sind immer anders, das dritte und vierte Päckchen nach dem STOP ist nach jedem Neustartversuch verändert... Nach dem Löschen der Datein mit Avenger hab ich noch mal die Dateien im Windows-Ordner verglichen, ob welche dazugekommen sind. Plötzlich waren auf einmal wieder neue dll und sonstige neu produzierte Dateien mit dem Datum vom 21. April um 13 Uhr 28 drin (das ist übrigens genau der Zeitpunkt, als der Trojaner kam). Hier der Report von Avenger: ___________________________________ Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\dpevflbg.dll" deleted successfully. File "C:\WINDOWS\wdpoefan.dll" deleted successfully. File "C:\WINDOWS\vadokmxt.dll" deleted successfully. Error: file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" not found! Deletion of file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
:heulen: Also die beschriebenen Symptome an meinem Rechner sind aber wirklich erst nach der Sache mit dem Trojaner gekommen. Vorher hat mein Computer immer sehr zuverlässig funktioniert, ist NIE abgestürzt und ist auch IMMER zuverlässig hochgefahren. Auch alle Programme haben immer funktioniert und der Rechner hat auch immer noch Festplatten oder andere USB-Geräte erkannt, die andere Rechner nicht erkannt haben. Vorher ist mir wirklich nichts aufgefallen. Aber was soll ich denn jetzt machen? Hab ne Menge Konfigurationen auf dem Rechner, so daß eine komplette Neuinstallation von Windows fast ne Katastrophe für mich wäre und auch ein extremer Zeitaufwand, den ich kaum bewältigen könnte. Wäre es denn eine Lösung, Windows von der CD einfach drüberzuinstallieren? :heulen: Vielen Dank für die Mühe und Tips Viele Feiertagsgrüße! |
Hi, ich hab den ursprünglichen Beitrag wohl zu spät editiert, es fehlten 2 Dateien, die ich noch nachgereicht hab. Zu deinem BSOD hat sich bisher nicht viel ergeben. Eventuell hat es etwas mit dem RAM zu tun. (Da wäre das simultane Auftreten mit dem Fix Zufall. Sollte aber mal sichergestellt werden, dass es nicht die Ursache ist. Überprüfen kannst du den Zustand deiner RAM Riegel zb mit Memtest86) Oder es könnte auch an deinen Grafikkartentreibern liegen. Da sollte dann ein neuinstallieren der Treiber das Problem beheben. Generell ist der BSOD ein Softwareproblem und sollte daher ohne eine Neuinstallation behebbar sein. Da allerdings keine Infos zum Verursacher des Absturz geliefert werden, kann ich nicht mit Sicherheit sagen, dass wir den Urhaber finden. Ich bin aber weiterhin an der Sache dran, wenn ich etwas erfahre, dann geb ich Bescheid. lg myrtille EDIT: Du kannst versuchen Windows von der BootCD zu reparieren. Aber ich würde vorher dennoch deine Daten speichern. Man ist nie vor irgendwelchen "Zwischenfällen" sicher. Poste bitte ein neues Hijackthislog |
Stichwort Grafikkartentreiber... dazu ist mir gerade eingefallen, daß ich letzten Herbst ein Computerspiel (mit aufwendiger Grafik) spielen wollte, das lief aber nur circa 5 Minuten, dann hat der Bildschirm auf einmal alle Farben verloren und hat nur noch dicke Felder in pink, giftgrün und blau mit weißem Hintergrund angezeigt. Alle Icons und Fenster wurden riesig groß, der Bildschirm hat sich in zwei Hälten geteilt, jeweils links und rechts auseinandergesprungen (gespalten) und ich hab den Startbutton nicht mehr gefunden, so daß ich dann den Computer ausschalten mußte. Die Musik lief noch wunderbar weiter, ich konnte nur nichts mehr sehen.... aber nach dem Neustart war alles wieder okay und danach hab ich auch keine Games mehr gezockt, so daß ich das Problem vergessen habe. Paßt das zu dem Problem? Müßte ich dann von der Treiber-CD den Grafikkartentreiber wieder neu installieren, oder ne neue Grafikkarte kaufen? Und mir vielleicht noch zusätzlich einen neuen RAM kaufen? Vielen Dank für die Mühe schönen Pfingstgruß!!! |
Sollte es sich um einen technischen Defekt im RAM handeln müsstest du wohl einen neuen Riegel kaufen. Ich halte das allerdings nicht für eine sehr wahrscheinliche Lösung und möchte eigentlich nur sichergehen, dass wir hier keinen Geist jagen. Ein Test mit memtest sollte schnell zeigen ob das RAM defekt ist oder nicht. Auch eine neue Grafikkarte solltest du nicht brauchen, es sollte reichen die Treiber neuzuinstallieren. Anstatt die von der CD zu nehmen, würde ich jedoch erstmal schauen ob der Grafikkartenproduzent nicht eine neuere Version des Treibers anbietet. Wenn ja, würde ich diese installieren.;) Gute Nacht & schöne Pfingsten ;) lg myrtille |
Hallo, da bin ich wieder hab jetzt die beiden restlichen Dateien noch mit Avenger gelöscht. Der Zustand ist nach wie vor unverändert. Normal starten geht garnicht und Herunterfahren dauert mindestens 6 Minuten. Hier sind ist der Bericht von Avenger: __________________________________________ Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\dpevflbg.dll" not found! Deletion of file "C:\WINDOWS\dpevflbg.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\wdpoefan.dll" not found! Deletion of file "C:\WINDOWS\wdpoefan.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\vadokmxt.dll" not found! Deletion of file "C:\WINDOWS\vadokmxt.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" not found! Deletion of file "C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\olgdqarf.exe" deleted successfully. File "C:\WINDOWS\wxvgsdbq.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:22, on 12.5.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = MEDION International R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Welcome to ALDI R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - MEDIONshop.de (file missing) (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 6572 bytes |
beim mal wieder nicht hochfahren kam auf einmal eine andere Fehlermeldung. Zwischen dem ersten und dem zweiten Kapitel der schon geposteten Meldung auf dem blauen Bildschirm erschien jetzt: PAGE_FAULT_IN_NONPAGED_AREA und unten dann bei den technischen Informationen: *** STOP: 0x00000050 (0xE28AFFF8, 0x00000000, 0x80550979, 0x00000001) Vielleicht hilft das ja erstmal weiter... noch nen guten Start in die neue kürzere Woche wünsche ich... Viele Grüße |
Hi, das deutet auch auf ein Dienst/Treiber oder RAM-Problem hin. Hast du deine RAM mal getestet? Deine (Grafikkarten)Treiber neuinstalliert? Normalerweise erstellt Widows unter C:\windows\minidump *.dmp - Dateien, in denen weitere Informationen zum Crash enthalten sind. Könntest du wohl die *.dmp Datei von der PAGE_FAULT_IN_NONPAGED_AREA-Meldung und ein paar der anderen Meldungen zippen und hier als Anhang hochladen? Dann schau ich mir die mal auf weitere Hinweise an. lg myrtille |
hi Minidump muß ich noch machen, habe erstmal den RAM gescannt, Meldung: "Pass complete, no errors, press Esc to exit" Dann hab ich mir einen aktuellen Grafikkartentreiber im Internet runtergeladen und ihn auf dem beschädigten Rechner installiert. Erst fehlte "DirectX 8" ich hab dann DirectX 9 installiert und den Treiber erneut installiert. Dann kam aber folgende Fehlermeldung: "Severe ... Setup did not find a driver compatible with your current hardware or operating system. Setup will now exit." Hoffe du kommst damit weiter... Viele Grüße und herzlichen Dank |
Wie kann ich denn die gezippten Dump Dateien hier als Anhang hochladen??? |
Hi, Sorry, ich hab geschlafen. Zip-Anhänge sind hier nicht erlaubt. Lade die Datei bitte bei file-upload hoch und schick mir den Link per PM oder poste ihn hier. Ich bin diese Woche allerdings sehr eingespannt und kann dir nicht versprechen, dass ich die Dateien morgen sichten werde. Am Wochenende sollte es jedoch hoffentlich klappen. lg myrtille |
File-Upload.net - Ihr kostenloser File Hoster! Macht doch nichts, ich hab ja noch das Notebook, was zwar sehr langsam ist, aber wenigstens komme ich damit ins Internet... Vielen Dank für deine Mühe |
Heya, ich hab mihc noch ein wenig umgehört, allerdings auch keine wirklich eindeutigen Hinweise erhalten. Ist dieTreiberversion aktuell? Versuch es vielleicht mal mit einer anderen Version. Hast du schonmal versucht den Treiber im abgesicherten Modus zu installieren? Dadurch werden erstmal die Defaultwindowstreiber geladen, was eventuelle Probleme mit dem Treiber verhindern könnte. Ansonsten kann ich dir, fürchte ich, keine weiteren Tipps geben. Eventuell kann dir da nen Windowsboard oder ein Hardwareboard besser weiterhelfen. lg myrtille |
Hi, ja dann erstmal vielen Dank für Deine Mühe... kannst du mir ein gutes Windows- oder Hardwareboard empfehlen? Viele Grüße :heulen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board