Trojaner-Board - Virus öffnet Pop up Pc wird langsam

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus öffnet Pop up Pc wird langsam (https://www.trojaner-board.de/52513-virus-oeffnet-pop-up-pc-langsam.html)

Virus öffnet Pop up Pc wird langsam

Hi, ich habe seit einer kurzen Zeit einen Virus auf dem Pc der POP-UP´s öffnet und mein System langsamer macht,mein Internet kann ich nur noch eingeschränkt benutzen (Google funktioniert fast garnicht mehr) und ich kann mein Destophintergrund nicht mehr ändern (Der ist nurnoch Blau).
Was kann ich machen?

Hallo Jonny.

Poste bitte ein Hijackthis log.

Und befolge die Anleitungen zu SUPERAntiSpyware und Anti-Malware aus meiner Signatur.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:07, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cchservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sb/Suchleiste
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/Deutschland
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ads.gooochi.biz/bc/123kah.php]Error
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [40cb77d7] rundll32.exe "C:\WINDOWS\system32\ojacsvqa.dll",b
O4 - HKLM\..\Run: [BM43f8444b] Rundll32.exe "C:\WINDOWS\system32\shaygvgk.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntskdm.exe
O4 - Global Startup: phase-6 reminder.lnk = C:\Programme\phase6\phase6 professional\Phase6Reminder.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 6450 bytes

Part2 macvhe ich jetzt eben.

Bevor du die Scans machst!:

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\ojacsvqa.dll
C:\WINDOWS\system32\shaygvgk.dll
C:\WINDOWS\system32\ocntskdm.exe
C:\Programme\phase6\phase6 professional\Phase6Reminder.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Phase6 ist ein lern programm garantiert kein virus

1.Datei
MD5: 271de5019fe39541d41a14726c5520b8
First received: 2008.05.16 21:48:06 (CET)
Datum 2008.05.16 21:48:20 (CET) [<1D]
Ergebnisse 6/31
Permalink: analisis/507a509690a6cdaaa42c02d4e31c6bd6

2.Datei
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.16 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.16 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 Vundo.gen179
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3105 2008.05.16 -
Norman 5.80.02 2008.05.16 Vundo.gen179
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Troj/Virtum-Gen
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.16 -
Webwasher-Gateway 6.6.2 2008.05.16 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 125440 bytes
MD5...: ec3c8f747308d7129eeef8cc3ea88b93
SHA1..: 017315595e55007fd54fb0e06fba90d355d91c5f
SHA256: 5bd2cc86890cd740acc26b4c69734e251fdceaa97f81caa2094c54bed31474f2
SHA512: 06e17841dcfca8c890c7f62705d63701fef168e7e9f2541a9369724774c7551c
d80db842682a493b4c202f64e1732a24836fc46bda26dede1dfdd539f570c5e4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001034
timedatestamp.....: 0x478a2fee (Sun Jan 13 15:36:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x85ea 0x8600 7.23 d766bba277f2d336818e47d120e18b9e
.rdata 0xa000 0xb9d5 0xba00 7.98 5b616b41450dd2e96d0a65532bd83ddc
.data 0x16000 0x146ab 0xa600 7.95 68e6d1f382407250e976dc34d5460529

( 2 imports )
> user32.dll: DialogBoxParamA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCaret, DeleteMenu, DefDlgProcA, CreateIconFromResourceEx, CreateIconFromResource, CreateIcon, CreateDialogParamA, CreateDialogIndirectParamA, CreateDesktopA, CreateAcceleratorTableA, CharUpperBuffA, CharUpperA, CharToOemA, CharNextA, ActivateKeyboardLayout
> kernel32.dll: ExitThread, lstrlenA, lstrcpyA, lstrcmpiA, lstrcmpA, lstrcatA, UnmapViewOfFile, TlsSetValue, SleepEx, SetLastError, ReadFile, OpenFile, LocalAlloc, LeaveCriticalSection, GetVersionExA, GetVersion, GetSystemTime, GetPrivateProfileStringA, GetFileSize, GetDateFormatA, CompareStringA, EnumResourceLanguagesA, EnumResourceLanguagesW, FindResourceA, FreeResource

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...56E7002954C930

3.Datei
0 bytes size received / Se ha recibido un archivo vacio

PS:Mein System
Operating System: Windows XP Professional (5.1, Build 2600) Service Pack 2 (2600.xpsp_sp2_rtm.040803-2158)
System Manufacturer: System manufacturer
System Model: System Product Name
BIOS: BIOS Date: 12/12/05 19:01:31 Ver: 08.00.10
Processor: Intel(R) Pentium(R) 4 CPU 3.00GHz (2 CPUs)
Memory: 1024MB RAM
Page File: 533MB used, 1927MB available
DirectX Version: DirectX 9.0c (4.09.0000.0904)

Zitat:

Phase6 ist ein lern programm garantiert kein virus

die Ergebnisse, Internet-Präsenz und google hits sehen aber ganz danach aus.

Hier ist ein Pic davon.
http://img91.imageshack.us/img91/5359/phase6hv5.th.jpg

Und hier der Scan:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 -
Authentium 5.1.0.4 2008.05.17 -
Avast 4.8.1195.0 2008.05.17 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.17 -
CAT-QuickHeal 9.50 2008.05.16 -
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.17 -
Fortinet 3.14.0.0 2008.05.17 -
GData 2.0.7306.1023 2008.05.17 -
Ikarus T3.1.1.26.0 2008.05.17 -
Kaspersky 7.0.0.125 2008.05.17 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3106 2008.05.16 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.17 -
Prevx1 V2 2008.05.17 -
Rising 20.44.50.00 2008.05.17 -
Sophos 4.29.0 2008.05.17 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.17 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.16 -
Webwasher-Gateway 6.6.2 2008.05.17 -
weitere Informationen
File size: 438272 bytes
MD5...: 3b5732a8e151996dc63de107d0db0032
SHA1..: 8ab4d83f8d18e6f39da6932b6bd46bebd094c45b
SHA256: 70da2cd88704769ffce32ebe9570499f50993742333ddce68943d5c95471ec52
SHA512: 1264c6d62c3c593955c6b2df27d5ed62215910f2aeefa4f6024811dca9c9533a
7b2b1efcf1c8261eb4cff961dbaff5acb49bfd95bf2e9208241f78ccca465a82
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402d33
timedatestamp.....: 0x4691f604 (Mon Jul 09 08:47:00 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x155fa 0x16000 6.49 c32a9bc859190d731d940fa81b0fdbda
.rdata 0x17000 0x4ada 0x5000 4.66 085a73d7c3cf58330f29374294b67c50
.data 0x1c000 0x57c8 0x2000 2.57 258b220292608bcff443214ade35fdf8
.rsrc 0x22000 0x4c8e8 0x4d000 5.28 623bac7c303d2143dde68618240fa213

( 6 imports )
> KERNEL32.dll: HeapAlloc, RtlUnwind, GetStartupInfoA, GetCommandLineA, ExitProcess, TerminateProcess, HeapFree, RaiseException, GetTimeZoneInformation, GetSystemTime, GetLocalTime, GetACP, HeapReAlloc, HeapSize, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, SetHandleCount, GetFileType, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, IsBadReadPtr, IsBadCodePtr, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProfileStringA, SetEndOfFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, CreateFileA, GetCurrentProcess, SetErrorMode, GetOEMCP, GetCPInfo, SizeofResource, GetProcessVersion, GetLastError, WritePrivateProfileStringA, GlobalFlags, lstrcpynA, TlsGetValue, LocalReAlloc, TlsSetValue, EnterCriticalSection, GlobalReAlloc, LeaveCriticalSection, TlsFree, GlobalHandle, DeleteCriticalSection, TlsAlloc, InitializeCriticalSection, LocalAlloc, LoadLibraryA, FreeLibrary, GetVersion, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, lstrcpyA, LocalFree, MultiByteToWideChar, WinExec, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, GlobalFree, LockResource, FindResourceA, LoadResource, GlobalUnlock, MulDiv, GetModuleHandleA, GetProcAddress, SetLastError, CloseHandle, GetModuleFileNameA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, lstrcmpA, lstrcmpiA, GetCurrentThread, GetCurrentThreadId, GetStdHandle
> USER32.dll: CopyRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, SendDlgItemMessageA, UpdateWindow, IsDialogMessageA, SetWindowTextA, ShowWindow, LoadCursorA, GetClassNameA, PtInRect, GetSysColorBrush, LoadStringA, DestroyMenu, InvalidateRect, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetWindowTextLengthA, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, CreateWindowExA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, OffsetRect, IntersectRect, GetWindowPlacement, GetWindowRect, wsprintfA, EndDialog, SetActiveWindow, IsWindow, CreateDialogIndirectParamA, DestroyWindow, GetDlgItem, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, ScreenToClient, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, LoadIconA, SendMessageA, DrawIcon, GetClientRect, UnregisterClassA, HideCaret, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, MessageBoxA, SetCursor, PostQuitMessage, PostMessageA, GetTopWindow, GetCapture, GetClassLongA, WinHelpA, EnableWindow, IsIconic, GetSystemMetrics, IsWindowUnicode, CharNextA, InflateRect, DefDlgProcA, DrawFocusRect, ExcludeUpdateRgn, ShowCaret, SystemParametersInfoA
> GDI32.dll: SetTextColor, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, GetClipBox, IntersectClipRect, SetBkMode, DeleteObject, GetDeviceCaps, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetObjectA, SetBkColor, GetStockObject, SelectObject, RestoreDC, SaveDC, DeleteDC, CreateBitmap, CreateDIBitmap, PatBlt, GetTextExtentPointA, BitBlt, CreateCompatibleDC, CreateSolidBrush
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegOpenKeyExA, RegCreateKeyExA
> COMCTL32.dll: -

( 0 exports )

Oh man.

Jetzt raff ich erst was du dort hast auswerten lassen..

Schreib das nächste mal bitte gut erkennbar oben drüber welche Datei du hast auswerten lassen!

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Search Navipromo version 3.5.7 began on 2008-05-17 at 14:34:09.18

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Jonny"

Updated on 11.05.2008 at 18h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Jonny\anwend~1" ***

*** Search folders in "C:\DOKUME~1\JONASM~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\WILLIW~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Jonny\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\JONASM~1\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\WILLIW~1\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Jonny\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\JONASM~1\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\WILLIW~1\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Jonny\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\JONASM~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\WILLIW~1\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Jonny\lokale~1\anwend~1" :

* In "C:\DOKUME~1\JONASM~1\lokale~1\anwend~1" :

* In "C:\DOKUME~1\WILLIW~1\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 2008-05-17 at 14:38:51.53 ***

Jute.

Fixe nun bitte folgende Einträge mit HJT:

Zitat:

C:\WINDOWS\ALCMTR.EXE
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ads.gooochi.biz/bc/123kah.php]Error
O4 - HKLM\..\Run: [40cb77d7] rundll32.exe "C:\WINDOWS\system32\ojacsvqa.dll",b
O4 - HKLM\..\Run: [BM43f8444b] Rundll32.exe "C:\WINDOWS\system32\shaygvgk.dll",s
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntskdm.exe

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

Files to delete: 

C:\WINDOWS\system32\ojacsvqa.dll

C:\WINDOWS\system32\shaygvgk.dll

C:\WINDOWS\system32\ocntskdm.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Die Files habe ich Gefixt
Aber mir dem Programm habe ich schwierigkeiten.
Da kommt immer wenn ich auf Execut klicke dass:

http://img530.imageshack.us/img530/6289/scanao3.th.png

Das liegt daran, dass du das Files to delete in "" gesetzt hast.

Kopiere einfach genau das ab was ich dir poste:

Zitat:

Files to delete:
C:\WINDOWS\system32\ojacsvqa.dll
C:\WINDOWS\system32\shaygvgk.dll
C:\WINDOWS\system32\ocntskdm.exe

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ojacsvqa.dll" deleted successfully.
File "C:\WINDOWS\system32\shaygvgk.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\ocntskdm.exe" not found!
Deletion of file "C:\WINDOWS\system32\ocntskdm.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Der LOG ist es jetzt weg?

Poste bitte zum Abschluss ein frisches HJT logfile.

nNe zeitlang ging alles gut doch gerade hat norton wieder gesagt TR.Vundo

HIJACKTHIS:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:22, on 2008-05-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\PuXpMan2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Ares\Ares.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\cchservice.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {a26dd8f0-11bb-542b-3754-9f65e4185b97} - {79b5814e-56f9-4573-b245-bb110f8dd62a} - C:\WINDOWS\system32\aokxkttp.dll
O2 - BHO: (no name) - {7E76D3DD-68B9-414B-8D95-ED3C25874248} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: gooochi browser optimizer - {d9e3714a-95c4-0ebd-d173-2f856d5de027} - C:\WINDOWS\system32\{0a817b6a-88a6-dfc1-437a-0bab66d9e6c7}.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jrwnw64l.exe
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Global Startup: phase-6 reminder.lnk = C:\Programme\phase6\phase6 professional\Phase6Reminder.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe
O24 - Desktop Component 0: (no name) - file:///F:/files/extras/wallpapers_cbs/1024x768/images/wallpaper_stubbs_the_zombie_in_rebel_without_a_pulse_02_1024.jpg

--
End of file - 8573 bytes