Trojaner-Board - Windows Updates&Firewall inaktiv, IE PopUps, AntySpywareExpert plötzlich da,..

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Updates&Firewall inaktiv, IE PopUps, AntySpywareExpert plötzlich da,.. (https://www.trojaner-board.de/54643-windows-updates-firewall-inaktiv-ie-popups-antyspywareexpert-ploetzlich.html)

Schwarterl

24.06.2008 14:54

Windows Updates&Firewall inaktiv, IE PopUps, AntySpywareExpert plötzlich da,..

Hallo!

Verbringe nun schon seit gestern vor meinem Computer und versuche diese nervigen Sachen endlich zum schweigen zu bringen. Habe heute schon einige Beiträge hier entdeckt wo die Leute ähnliche (oder auch die selben) Probleme wie ich hatten. Ich habe mich bemüht das so zu machen wie den Leuten geraten wurde, aber leider bekomme ich den Nerv-Faktor nicht weg. :headbang:

Also, ich habe folgende Probleme:

Windows Updates & Firewall sind nicht aktiv und lassen sich auch nicht aktivieren
das Programm "AntiSpywareExpert" war plötzlich da und hat genervt mit ewigen Aufforderungen ich solle doch scannen und die Vollversion bestellen weil mein Computer gefährdet ist (habe gleichnamigen Ordner unter Programme gefunden und gelöscht da unter installierter Software nix zu finden war. Jetzt ist Ruhe)
Obwohl Firefox mein Standardbrowser ist und IE sehr, sehr selten benutzt wird öffnen sich plötzlich PopUp Fenster mit allen möglichen Seiten. Angefangen von Werbung bis hin zu "normalen" Seiten)
Firefox öffnet einige Seiten nicht mehr, andere hingegen ohne Probleme. Dachte zuerst dass es evtl. mit dem neuen besser werden würde, wurde es aber nicht.
Computer ist allgemein sehr langsam. Also, ja, er ist alt und träge, aber normal nicht ganz soooo träge :rolleyes:

Das habe ich bisher versucht:

Avast aktualisiert und einen kompletten Scan gemacht -> nichts gefunden
AntiVir installiert und einen kompletten Scann gemacht ->
- HEUR/Malware
- TR/Drop.Agent.33280
->alles entfernt
Adaware durchlaufen lassen, nicht überwältigend viel gefunden, entfernt
HijackThis drüber laufen lassen, 1 gefährlicher Prozess angezeigt, entfernt
Dann hier im Forum nachgelesen was das sein könnte und dann habe ich ausprobiert:
SmitfraudFix
und zu guter Letzt noch Dss

Code:

Deckard's System Scanner v20071014.68 Run by ** on 2008-06-24 15:10:36 Computer is in Normal Mode. -------------------------------------------------------------------------------- Total Physical Memory: 480 MiB (512 MiB recommended). -- HijackThis (run as ***.exe) ------------------------------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:10:57, on 24.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Winamp\winampa.exe C:\Programme\Dell AIO Printer A920\dlbkbmon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Dokumente und Einstellungen\**\Desktop\dss.exe C:\PROGRA~1\HIJACK~1\SCHWAR~1.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://w*w.chello.at/autoconfig/deat.ins O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {8E1EF31F-A2BF-4050-A716-882F3CB401ED} - C:\WINDOWS\system32\hgGyWMgd.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: (no name) - {F86B11F3-0CE1-475F-9541-5329BF7B3597} - C:\WINDOWS\system32\fccccBRK.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BM7b4ba697] Rundll32.exe "C:\WINDOWS\system32\qhwdifkf.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.chello.at/ O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: fccccBRK - C:\WINDOWS\SYSTEM32\fccccBRK.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE -- End of file - 8073 bytes -- Files created between 2008-05-24 and 2008-06-24 ----------------------------- 2008-06-24 14:11:14 0 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-06-24 14:11:04 0 d-------- C:\WINDOWS\LastGood 2008-06-24 13:19:53 2678 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-24 00:01:02 0 d-------- C:\Programme\Avira 2008-06-23 17:23:30 1741818 ---hs---- C:\WINDOWS\system32\dccdmqce.ini2 2008-06-23 17:22:45 81408 --a------ C:\WINDOWS\system32\ecqmdccd.dll 2008-06-23 17:19:34 105984 --a------ C:\WINDOWS\system32\qvksvqww.dll 2008-06-23 17:15:09 91136 --a------ C:\WINDOWS\system32\qhwdifkf.dll 2008-06-21 15:59:36 202472 --ahs---- C:\WINDOWS\system32\dgMWyGgh.ini2 2008-06-21 15:59:30 323072 --a------ C:\WINDOWS\system32\hgGyWMgd.dll 2008-06-21 15:54:25 24576 --a------ C:\WINDOWS\system32\fccccBRK.dll 2008-05-31 18:45:28 0 --a------ C:\Programme\temp01 -- Find3M Report --------------------------------------------------------------- 2008-06-24 15:08:19 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Skype 2008-06-24 14:15:11 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\skypePM 2008-06-23 20:31:59 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Mozilla 2008-06-23 18:03:08 0 d--h----- C:\Programme\InstallShield Installation Information 2008-06-23 18:03:07 0 d-------- C:\Programme\Gemeinsame Dateien 2008-06-23 18:01:53 0 d-------- C:\Programme\Google 2008-06-21 16:01:04 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Azureus 2008-06-21 15:50:46 0 d-------- C:\Programme\Azureus 2008-06-21 12:01:39 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Playrix Entertainment 2008-06-09 15:46:17 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Zylom 2008-06-09 15:46:17 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Identities 2008-06-06 19:05:10 10 --a------ C:\WINDOWS\popcinfo.dat 2008-06-04 21:08:53 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\EA 2008-05-25 15:16:24 0 d-------- C:\Programme\win2day 2008-05-22 13:51:12 58456 --a------ C:\Dokumente und Einstellungen\**\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-05-07 15:29:37 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-05-07 15:15:42 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\AdobeUM 2008-05-04 15:47:34 0 d-------- C:\Programme\BSW 2008-05-01 21:35:58 0 d--hs--c- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-04-26 01:10:44 0 d-------- C:\Programme\bwin 2008-04-26 00:59:44 0 d-------- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Adobe 2008-03-30 14:55:11 391330 --a------ C:\WINDOWS\system32\perfh007.dat 2008-03-30 14:55:11 63778 --a------ C:\WINDOWS\system32\perfc007.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E1EF31F-A2BF-4050-A716-882F3CB401ED}] 21.06.2008 15:59 323072 --a------ C:\WINDOWS\system32\hgGyWMgd.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F86B11F3-0CE1-475F-9541-5329BF7B3597}] 21.06.2008 15:54 24576 --a------ C:\WINDOWS\system32\fccccBRK.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16.05.2008 01:19] "Dell AIO Printer A920"="C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe" [02.06.2003 20:32] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 11:50] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [07.05.2006 18:49] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [15.05.2007 00:22] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [29.06.2007 06:24] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [15.08.2007 20:15] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06] "BM7b4ba697"="C:\WINDOWS\system32\qhwdifkf.dll" [23.06.2008 17:15] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 09:57] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [19.01.2007 12:55] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [03.09.2005 15:18] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [01.02.2008 18:22] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23.09.2005 23:05:26] AutoCAD Startup Accelerator.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [05.03.2005 16:18:22] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 01:01:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{F86B11F3-0CE1-475F-9541-5329BF7B3597}"= C:\WINDOWS\system32\fccccBRK.dll [21.06.2008 15:54 24576] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccccBRK] fccccBRK.dll 21.06.2008 15:54 24576 C:\WINDOWS\system32\fccccBRK.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\hgGyWMgd [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" -- End of Deckard's System Scanner: finished at 2008-06-24 15:12:05 ------------

also ich hoffe das passt so mit dem Bericht von Dss...

Vielleicht hat ja jemand einen Rat was ich noch machen kann :)

Liebe Grüße
Schwarterl

trojan-death

24.06.2008 16:23

Hi und :hallo:

Bitte lass als erstes Malwarebytes laufen, lass alles löschen was er findet und Poste den Report:daumenhoc
Dazu dann auch ein frisches Hijackthis Logfile:daumenhoc

Schwarterl

24.06.2008 21:08

Hi!

Danke für die schnelle Antwort!
Das scannen hat ewig gedauert, aber jetzt ist es geschafft.. hier das Logfile!

Beim löschen hatte ich ein Problem..irgendwas von wegen dass es nicht geht und Computer neu hochgefahren werden muss. Hat dann neu gestartet..

noch was: warum steht da immer "no action taken"???

Code:

Malwarebytes' Anti-Malware 1.18

Datenbank Version: 886
 

21:31:43 24.06.2008

mbam-log-6-24-2008 (21-31-28).txt
 

Scan Art: Komplett Scan (C:\|)

Objekte gescannt: 123451

Scan Dauer: 2 hour(s), 1 minute(s), 43 second(s)
 

Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 3

Infizierte Registrierungsschlüssel: 11

Infizierte Registrierungswerte: 3

Infizierte Datei Objekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 25
 

Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)
 

Infizierte Speicher Module:

C:\WINDOWS\system32\hgGyWMgd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\oivkdvug.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\fccccBRK.dll (Trojan.Vundo) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e1ef31f-a2bf-4050-a716-882f3cb401ed} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{8e1ef31f-a2bf-4050-a716-882f3cb401ed} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{f86b11f3-0ce1-475f-9541-5329bf7b3597} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f86b11f3-0ce1-475f-9541-5329bf7b3597} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccccbrk (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\Software\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\7878950b (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f86b11f3-0ce1-475f-9541-5329bf7b3597} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM7b4ba697 (Trojan.Agent) -> No action taken.
 

Infizierte Datei Objekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggywmgd -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggywmgd  -> No action taken.
 

Infizierte Verzeichnisse:

(Keine Malware Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\ecqmdccd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\dccdmqce.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\dccdmqce.ini2 (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\hgGyWMgd.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\dgMWyGgh.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\dgMWyGgh.ini2 (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\oivkdvug.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\guvdkvio.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\fccccBRK.dll (Trojan.Vundo) -> No action taken.

C:\Dokumente und Einstellungen\schwarterl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QCIWINSU\css4[1] (Trojan.Vundo) -> No action taken.

C:\Dokumente und Einstellungen\schwarterl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QCIWINSU\kb456456[2] (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-225806-373.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-225807-433.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-225907-139.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-225907-222.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-230242-820.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-230242-936.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-231620-222.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080623-231620-272.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080624-130456-691.dll (Trojan.Vundo) -> No action taken.

C:\Programme\Hijackthis\backups\backup-20080624-130457-993.dll (Trojan.Vundo) -> No action taken.

C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP621\A0082415.dll (Trojan.Vundo) -> No action taken.

C:\AUTOEXEC.BAT (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\raxbaact.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

und hier das neue von HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:56:51, on 24.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Dell AIO Printer A920\dlbkbmon.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://w*w.chello.at/autoconfig/deat.ins

O2 - BHO: {2ba4fcdf-6eff-f8ea-3914-7bc72ea54176} - {67145ae2-7cb7-4193-ae8f-ffe6fdcf4ab2} - C:\WINDOWS\system32\ieduyxjq.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.chello.at/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
 

--

End of file - 7874 bytes

Firefox geht jetzt wieder (bis jetzt ohne Probleme), auch bis jetzt keine unerwünschten IE-Fenster, allerdings jault mein AntiVir jetzt recht oft auf dass er einen Trojaner hat.. (TR/Trash.Gen)

Vielen Dank auf jeden Fall!!
Liebe Grüße
Schwarterl

trojan-death

24.06.2008 21:10

"No action taken" weil du sie nicht, wie ich gesagt habe, gelöscht hast:pfui:
Es kann sein dass die dateien erst nach einem reboot gelöscht werden:daumenhoc

darum bitte nochmals scannen und alles löschen was er findet:daumenhoc

Schwarterl

24.06.2008 21:14

oh noo!!!

ja das war so: er war fertig, hat (glaube ich) 43 Dateien gefunden, dann ist da gestanden "entfernen", da hab ich hingeklickt, dann hat er was gemacht, dann die Meldung.. dann neustart.
Nachher hab ich geschaut, waren 38 Dateien in Quarantäne, die hab ich dann gelöscht..hmmm... :headbang: dann wohl nochmal von vorne

trojan-death

24.06.2008 21:16

Zitat:

Zitat von Schwarterl (Beitrag 349056)

oh noo!!!

ja das war so: er war fertig, hat (glaube ich) 43 Dateien gefunden, dann ist da gestanden "entfernen", da hab ich hingeklickt, dann hat er was gemacht, dann die Meldung.. dann neustart.

was genau für eine meldung??

Zitat:

Zitat von Schwarterl (Beitrag 349056)

Nachher hab ich geschaut, waren 38 Dateien in Quarantäne, die hab ich dann gelöscht..hmmm... :headbang: dann wohl nochmal von vorne

dann hast du sie nicht gelöscht sondern in quarantäne gesteckt:daumenhoc
wenn du gefragt wirst was du machen willst, dann klickst du auf entfernen und wenn er dir sagt das einige dateien erst nach einem neustart gelöscht werde, dann lass das system unverzüglich neustarten:daumenhoc

Schwarterl

24.06.2008 21:24

Zitat:

Zitat von trojan-death (Beitrag 349059)

was genau für eine meldung??

diese dass er das nicht löschen kann bevor der Computer nicht neugestartet wird..den genauen Wortlaut weiß ich leider nicht mehr :schmoll:

Zitat:

Zitat von trojan-death (Beitrag 349059)

da war nur ein button mit "entfernen", einer mit "ignorieren" und noch irgendwas mit überspringen od so.. aber auf jeden Fall nix mit löschen.. ich würde ja fast vermuten dass die (ähh..43-38=) 5. Datei die war die er ned löschen konnte und den Rest hat er eingesperrt..kann das sein? Weil: nachdem besagte Meldung gekommen ist hat der Computer sofort (von selbst) neu gestartet

Aber was solls, MalwareBytes rennt schon wieder. Ich hab ja Zeit :rolleyes:

trojan-death

24.06.2008 21:27

Zitat:

Zitat von Schwarterl (Beitrag 349068)

Aber was solls, MalwareBytes rennt schon wieder. Ich hab ja Zeit :rolleyes:

gut und wenn die meldung von wegen neustart kommt, dann drückst du ja oder ok oder was auch immer:daumenhoc

werde morgen wieder hier sein:daumenhoc

Schwarterl

24.06.2008 21:50

Super! Dankeschön!
Dann bis morgen :)

Schwarterl

24.06.2008 23:12

Also hier das Malware Logfile:

Code:

00:05:34 25.06.2008

mbam-log-6-25-2008 (00-05-34).txt
 

Scan Art: Komplett Scan (C:\|)

Objekte gescannt: 123712

Scan Dauer: 1 hour(s), 47 minute(s), 6 second(s)
 

Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Datei Objekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)
 

Infizierte Speicher Module:

(Keine Malware Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine Malware Objekte gefunden)
 

Infizierte Datei Objekte der Registrierung:

(Keine Malware Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine Malware Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\fccccBRK.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

und jetzt noch HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:08:52, on 25.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Dell AIO Printer A920\dlbkbmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.chello.at/autoconfig/deat.ins

O2 - BHO: {2ba4fcdf-6eff-f8ea-3914-7bc72ea54176} - {67145ae2-7cb7-4193-ae8f-ffe6fdcf4ab2} - C:\WINDOWS\system32\ieduyxjq.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.chello.at/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
 

--

End of file - 7736 bytes

das schaut ja richtig gut aus, oder?
Also ich hab zumindest grad keine Probleme mehr :aplaus:

:party::knuddel: DANKESCHÖN!!!!!

trojan-death

25.06.2008 21:29

Zitat:

Zitat von Schwarterl (Beitrag 349100)

das schaut ja richtig gut aus, oder?
Also ich hab zumindest grad keine Probleme mehr :aplaus:

:party::knuddel: DANKESCHÖN!!!!!

Das ist ja schon mal nicht schlecht, ABER wir sind noch nicht fertig:daumenhoc
Bitte lade folgende Dateien bei VirusTotal hoch und poste das Ergebnis mit MD5 und SHA1 Angaben:daumenhoc

C:\WINDOWS\system32\ieduyxjq.dll

Nun bitte RunScanner laufen lassen und log posten:daumenhoc

Schwarterl

26.06.2008 20:27

Hi!

Sorry, war gestern Fußball schauen und nachdem ein Unwetter Wien lahm gelegt hat bin ich dann nicht mehr dazu gekommen Computer einzuschalten!

Ähh..diese Datei habe ich nicht!! (C:\WINDOWS\system32\ieduyxjq.dll)

LG Schwarterl

trojan-death

26.06.2008 20:38

RunScanner???

Schwarterl

26.06.2008 20:59

oh ach so..dachte zuerst das andere :)

kommt sofort :-)

Code:

Runscanner logfile h**p://w*w.runscanner.net 
 

* = signed file

- = file not found
 

000 General info

----------------

Computer name : FEST

Creation time : 26.06.2008 21:43:43

Hosts <> 127.0.0.1 : 0

Hosts file location : %SystemRoot%\System32\drivers\etc

IE version : 7.0.5730.11

OS : Microsoft Windows XP

OS Build : 2600

OS SP : Service Pack 2

RunScanner Version : 1.6.3.0

User Language : Deutsch (Deutschland)

User rights : Administrator

Windows folder : C:\WINDOWS
 

001 Running processes

---------------------

c:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH)

c:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH)

c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)

* c:\windows\system32\services.exe (Microsoft Corporation)

c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple, Inc.)

* c:\windows\system32\alg.exe (Microsoft Corporation)

* c:\programme\alwil software\avast4\ashserv.exe (ALWIL Software)

* c:\programme\alwil software\avast4\aswupdsv.exe (ALWIL Software)

* c:\programme\alwil software\avast4\ashmaisv.exe (ALWIL Software)

* c:\progra~1\alwils~1\avast4\ashdisp.exe (ALWIL Software)

* c:\programme\alwil software\avast4\ashwebsv.exe (ALWIL Software)

* c:\windows\system32\csrss.exe (Microsoft Corporation)

* c:\windows\system32\ctfmon.exe (Microsoft Corporation)

c:\programme\dell aio printer a920\dlbkbmgr.exe (Dell Computer Corporation)

* c:\programme\dell aio printer a920\dlbkbmon.exe (Dell Computer Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

* c:\windows\system32\svchost.exe (Microsoft Corporation)

c:\programme\icqlite\icqlite.exe (ICQ Ltd.)

* c:\programme\ipod\bin\ipodservice.exe (Apple Inc.)

* c:\programme\itunes\ituneshelper.exe (Apple Inc.)

* c:\programme\java\jre1.6.0_05\bin\jusched.exe (Sun Microsystems, Inc.)

* c:\windows\system32\lexbces.exe (Lexmark International, Inc.)

* c:\windows\system32\lexpps.exe (Lexmark International, Inc.)

* c:\windows\system32\lsass.exe (Microsoft Corporation)

* c:\programme\msn messenger\msnmsgr.exe (Microsoft Corporation)

* c:\programme\msn messenger\usnsvc.exe (Microsoft Corporation)

c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe (Nero AG)

* c:\programme\runscanner\runscanner.exe (Runscanner.net)

* c:\programme\skype\phone\skype.exe (Skype Technologies S.A.)

c:\programme\skype\plugin manager\skypepm.exe (Skype Technologies)

* c:\windows\system32\spoolsv.exe (Microsoft Corporation)

* c:\windows\explorer.exe (Microsoft Corporation)

* c:\windows\system32\winlogon.exe (Microsoft Corporation)

* c:\windows\system32\smss.exe (Microsoft Corporation)
 

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)

-----------------------------------------------------------------

- c:\programme\adobe\photoshop album starter edition\3.0\apps\apdproxy.exe

* c:\progra~1\alwils~1\avast4\ashdisp.exe (ALWIL Software)

c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH)

c:\programme\dell aio printer a920\dlbkbmgr.exe (Dell Computer Corporation)

c:\programme\icqlite\icqlite.exe (ICQ Ltd.)

c:\windows\system32\nerocheck.exe (Ahead Software Gmbh)

c:\programme\quicktime\qttask.exe (Apple Inc.)
 

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)

-----------------------------------------------------------------

c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe (Nero AG)
 

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

--------------------------------------------------------------------------

c:\progra~1\adobe\acroba~1.0\reader\reader~1.exe (Adobe Systems Incorporated)

* c:\progra~1\gemein~1\autode~1\acstar~1.exe (Autodesk, Inc)
 

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)

-----------------------------------------------------

c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple Mobile Device)

C:\WINDOWS\microsoft.net\framework\v1.1.4322\aspnet_state.exe (ASP.NET State Service)

* c:\programme\gemeinsame dateien\autodesk shared\service\adskscsrv.exe (Autodesk Licensing Service)

* c:\programme\alwil software\avast4\ashserv.exe (avast! Antivirus)

* c:\programme\alwil software\avast4\aswupdsv.exe (avast! iAVS4 Control Service)

* c:\programme\alwil software\avast4\ashmaisv.exe (avast! Mail Scanner)

* c:\programme\alwil software\avast4\ashwebsv.exe (avast! Web Scanner)

c:\programme\avira\antivir personaledition classic\avguard.exe (Avira AntiVir Personal – Free Antivirus Guard)

c:\programme\avira\antivir personaledition classic\sched.exe (Avira AntiVir Personal – Free Antivirus Scheduler)

c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe (InstallDriver Table Manager)
 

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)

----------------------------------------------------

* C:\WINDOWS\system32\drivers\aswfsblk.sys (aswFsBlk)

* c:\windows\system32\drivers\aswrdr.sys (aswRdr)

* c:\windows\system32\drivers\aavmker4.sys (avast! Asynchronous Virus Monitor)

* c:\windows\system32\drivers\aswtdi.sys (avast! Network Shield Support)

* c:\windows\system32\drivers\aswsp.sys (avast! Self Protection)

* c:\windows\system32\drivers\aswmon2.sys (avast! Standard Shield Support)

* c:\programme\avira\antivir personaledition classic\avgio.sys (avgio)

* c:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt)

* C:\WINDOWS\system32\drivers\avipbb.sys (avipbb)

- c:\windows\system32\drivers\changer.sys (Changer)

- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)

- c:\windows\system32\drivers\incdrm.sys (InCD Reader)

- c:\windows\system32\drivers\incdpass.sys (InCDPass)

- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)

- c:\windows\system32\drivers\pcidump.sys (PCIDump)

- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)

- c:\windows\system32\drivers\pdframe.sys (PDFRAME)

- c:\windows\system32\drivers\pdreli.sys (PDRELI)

- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)

* C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv)

- c:\windows\system32\drivers\wdica.sys (WDICA)
 

030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

------------------------------------------

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
 

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler

-------------------------------------------

c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}

c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}

c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}

c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}
 

035 HKLM-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

------------------------------------------------------------------

c:\windows\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
 

041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar

----------------------------------------------------------

c:\programme\pdfcreator toolbar\v3.3.0.1\pdfcreator_toolbar.dll {31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
 

042 HKLM\Software\Microsoft\Internet Explorer\Extensions

--------------------------------------------------------

c:\programme\icqlite\icqlite.exe (ICQ Ltd.) {B863453A-26C3-4e1f-A54D-A2CD196348E9}
 

045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

----------------------------------------------------------------

c:\programme\pdfcreator toolbar\v3.3.0.1\pdfcreator_toolbar.dll {31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
 

047 Trusted zones

-----------------

Zone: : msn
 

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

----------------------------------------------------------------------------------

c:\windows\system32\ieduyxjq.dll {67145ae2-7cb7-4193-ae8f-ffe6fdcf4ab2}

c:\programme\pdfcreator toolbar\v3.3.0.1\pdfcreator_toolbar.dll {C451C08A-EC37-45DF-AAAD-18B51AB5E837}
 

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

---------------------------------------------------------------------------------

c:\windows\system32\mscoree.dll (Microsoft Corporation) {1D2680C9-0E2A-469d-B787-065558BC7D43}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\progra~1\gemein~1\micros~1\webfol~1\msonsext.dll (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}
 

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers

------------------------------------------------------------

c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
 

069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

--------------------------------------------------------

C:\WINDOWS\system32\pdfcmnnt.dll (internet-support foehr.com)
 

100 Internet Explorer settings

------------------------------

Search Page HKCU : h**p://google.icq.com
 

102 HKLM - HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars

------------------------------------------------------------------

GUID / CLSID not found {32683183-48a0-441b-a342-7c2a440a9478}
 

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units

------------------------------------------------------------------

c:\windows\system32\kaspersky lab\kaspersky online scanner\kavwebscan.dll (Kaspersky Lab) {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}

- c:\windows\downloaded program files\messengerstatsclient.dll {8E0D4DE5-3180-4024-A327-4DFAD1796A8D}

GUID / CLSID not found {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA}

c:\programme\java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

c:\programme\java\jre1.5.0_09\bin\npjpi150_09.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}

- c:\windows\downloaded program files\ractrl.dll {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9}
 

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt

-----------------------------------------------------

E&xport to Microsoft Excel : res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
 

135 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (+subkeys)

---------------------------------------------------------------------

c:\programme\icqlite\icqlite.exe (ICQ Ltd.)
 

173 HKCR\*\shellex\ContextMenuHandlers

--------------------------------------

* c:\programme\alwil software\avast4\ashshell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}

c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}

c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG)

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers

-------------------------------------------------------

* c:\programme\alwil software\avast4\ashshell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}

c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}

c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG)

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers

--------------------------------------------------------------------------

* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
 

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers

------------------------------------------------------------

* c:\programme\alwil software\avast4\ashshell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}

* c:\programme\alwil software\avast4\ashshell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}

* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG)

c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG)

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers

---------------------------------------------------------------

c:\programme\icqlite\icqliteshell.dll {73B24247-042E-4EF5-ADC2-42F62E6FD654}

c:\programme\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
 

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

-------------------------------------------------------

c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info
 

241 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

---------------------------------------------------------------------------------------

* c:\windows\system32\acsignicon.dll (Autodesk) {36A21736-36C2-4C11-8ACB-D4136F2B57BD}

boah..echt böse..jetzt schlagen alle Virenscanner Alarm..bald ists aus fürchte ich..
seeehr langsam wird hier alles :heulen:

trojan-death

26.06.2008 21:03

Zitat:

Zitat von Schwarterl (Beitrag 349617)

boah..echt böse..jetzt schlagen alle Virenscanner Alarm..bald ists aus fürchte ich..
seeehr langsam wird hier alles :heulen:

Nein, nei sag mir nun einfach genau wann er anschlägt und was er findet:daumenhoc
Dann lass nochmals Malwarebytes laufen und alles löschen lassen und Report posten:daumenhoc

Dass kriegen wir schon weg:)

trojan-death

26.06.2008 21:12

Bitte folgende Dateien bei VirusTotal hochladen:

c:\windows\downloaded program files\ractrl.dll
c:\programme\winrar\rarext.dll

Diese Datei MUSS auf deinem system sein.... lade sie bitte auch hoch:daumenhoc

C:\WINDOWS\system32\ieduyxjq.dll

Schwarterl

26.06.2008 21:16

hier fehlt eindeutig der "Verbeugungs- bzw. Anbetungssmiley"

also jetzt hat grad Avast nachdem ich den .log gespeichert hatte losgeheult. Vorher, bevor ich ins Forum gekommen bin AntiVir. Avast sagt leider nicht genau was er findet, nur dass es ein Trojaner ist. Hab Avast jetzt aber dann mal gesagt er soll bei Neustart mal alles im Bios durchchecken! AntiVir nennt mir immer den gleichen..also eh den der im letztens schon nicht gepasst hat (TR/Trash.Gen). Ich sag ihm dann immer "löschen" aber vermute mal das kann der ned so einfach.

Hopala..weil ich jetzt grad nachgeschaut habe wie der Trojaner geheissen hat sehe ich dass die letzten Updateversuche bei AntiVir fehlgeschlagen sind..eher unwitzig!! Also Version ist vom 24.6.08, da habe ichs installiert, seit dem alle Updateversuche fehlgeschlagen..

:koch:

Boahh.. bis zu 1min Verzögerung für 1 Buchstaben. Wenn ich den in die Finger bekomme der mir das angehängt hat....... :sword2:

Malware rennt. Dauert wohl wieder 1-2h vermute ich..

trojan-death

26.06.2008 21:20

Solangsam habe ich auch keine Geduld mehr:aplaus:
Warten wir noch Malwarebytes ab und danach, muss ich dir wohl ComboFix aufbrummen (die kompetenzler wollen das nur kompetenzler das anwenden), da ComboFix viele bekannte files von Malware erkennt und löscht....

Warten wir mal ab:daumenhoc Gibt dir Avira einen Pfad an??

Schwarterl

26.06.2008 21:23

Last file found at:
C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086013.dll

trojan-death

26.06.2008 21:24

Zitat:

Zitat von Schwarterl (Beitrag 349625)

Last file found at:
C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086013.dll

sehr gut, sehr gut:daumenhoc

Lade die Datei mit den anderen hoch und poste das Ergebnis:daumenhoc

Schwarterl

26.06.2008 21:39

oookkk....also:
dctejqrf.dll:
MD5...: 07c9fcb1704626c9e2344467a747f966
SHA1..: 3ba4c475b064540633f92c6b6fb4a31d2c3d22f5

rarext.dll
MD5...: c5fcb7abec942c45f32dd51248782e29
SHA1..: 9c7e5740b6c14a1c6d29fdf35477a7abb2625a6d

c:\windows\downloaded program files\ractrl.dll
und
C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086013.dll

konnten nicht gefunden werden.. bei 2. eigentlich klar weil ich ja Avira gesagt habe er soll es löschen. Beim nächsten mal lass ich ihn ned löschen sondern lads dort hoch..

Reichen die Angaben oder brauchst du noch was von den anderen. War mir nicht ganz sicher

trojan-death

26.06.2008 21:41

Zitat:

Zitat von Schwarterl (Beitrag 349628)

Fast:daumenhoc Ich benötige nicht nur die MD5 und SHA1 Angaben sondern das ganze log mit den befunden der scanner:daumenhoc

Schwarterl

26.06.2008 21:50

dann bekommst alles ;-)

Code:

 Datei ieduyxjq.dll empfangen 2008.06.26 22:29:03 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 9/33 (27.28%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit is zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2008.6.26.0        2008.06.26        -

AntiVir        7.8.0.59        2008.06.26        -

Authentium        5.1.0.4        2008.06.25        -

Avast        4.8.1195.0        2008.06.26        -

AVG        7.5.0.516        2008.06.26        -

BitDefender        7.2        2008.06.26        -

CAT-QuickHeal        9.50        2008.06.26        AdWare.Virtumonde.zdg (Not a Virus)

ClamAV        0.93.1        2008.06.26        -

DrWeb        4.44.0.09170        2008.06.26        Trojan.Virtumod.based.16

eSafe        7.0.17.0        2008.06.26        Suspicious File

eTrust-Vet        31.6.5907        2008.06.26        -

Ewido        4.0        2008.06.26        -

F-Prot        4.4.4.56        2008.06.25        -

F-Secure        7.60.13501.0        2008.06.24        -

Fortinet        3.14.0.0        2008.06.26        Virtum!tr

GData        2.0.7306.1023        2008.06.26        -

Ikarus        T3.1.1.26.0        2008.06.26        Trojan.Win32.Vundo.N

Kaspersky        7.0.0.125        2008.06.26        not-a-virus:AdWare.Win32.Virtumonde.zdg

McAfee        5326        2008.06.26        -

Microsoft        None        2008.06.26        -

NOD32v2        3222        2008.06.26        -

Norman        5.80.02        2008.06.26        Vundo.gen192

Panda        9.0.0.4        2008.06.26        -

Prevx1        V2        2008.06.26        Malicious Software

Rising        20.50.32.00        2008.06.26        -

Sophos        4.30.0        2008.06.26        Troj/Virtum-Gen

Sunbelt        3.0.1153.1        2008.06.15        -

Symantec        10        2008.06.26        -

TheHacker        6.2.92.362        2008.06.26        -

TrendMicro        8.700.0.1004        2008.06.26        -

VBA32        3.12.6.8        2008.06.26        -

VirusBuster        4.5.11.0        2008.06.23        -

Webwasher-Gateway        6.6.2        2008.06.26        -

weitere Informationen

File size: 99840 bytes

MD5...: 07c9fcb1704626c9e2344467a747f966

SHA1..: 3ba4c475b064540633f92c6b6fb4a31d2c3d22f5

SHA256: 0ca6dcffccf8b06e17df78c4aea34ed7833382db9d99d85063864f701e5b37fc

SHA512: 491e2199ade2ff6f9f22ff162c6d2b97c048a602872d87fbafc64582b8661cd7

1736f31a3a980fe8ec14a563f7dadd2aee06f690b048147ff1a7d36decb68cd0

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10033932

timedatestamp.....: 0x485b9df7 (Fri Jun 20 12:09:27 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.data 0x1000 0x32000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.text 0x33000 0x1076 0x1200 6.12 1f7621376af0687157bbac9041964b52

.rdata 0x35000 0x17000 0x16600 8.00 0f466c269ac2684fcd8076e8bf3ec68f

.idata 0x4c000 0x1000 0x600 4.33 9ddf7ae89778c332aeea2fd93c10f4c2

.reloc 0x4d000 0x1000 0x400 0.87 318d3c76828be15a4b044ee840d43a6e
 

( 6 imports )

> kernel32.dll: HeapCreate, GetLastError, GetStringTypeW, CreateMutexW, GetTickCount, WaitForSingleObject, GetEnvironmentVariableA

> gdi32.dll: EngDeletePalette, GetBitmapBits, EngFillPath, BitBlt, PolyBezier, UpdateColors, EngGradientFill, EngPaint, CreateSolidBrush, SetBkColor, EngBitBlt, CreatePalette, GetPixel

> user32.dll: AppendMenuA, DrawCaption, CheckMenuRadioItem, PostThreadMessageA, DrawFocusRect, wvsprintfA, SetRect, GetDlgItemTextA, UpdateWindow, DefWindowProcA, SendDlgItemMessageA

> advapi32.dll: CryptDecrypt, CryptDestroyHash, ClearEventLogA, CancelOverlappedAccess, CryptSetHashParam, IsWellKnownSid, CloseEventLog, ConvertSidToStringSidA, CryptGenRandom, ElfChangeNotify, ConvertAccessToSecurityDescriptorA

> comdlg32.dll: CommDlgExtendedError, GetSaveFileNameA, dwOKSubclass, ChooseFontA, PrintDlgExA

> shell32.dll: StrRStrW, StrChrW, FreeIconList, StrRChrIW, StrChrIW
 

( 0 exports )

Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=035D998C00329F1B86ED013B3C2E0700BD5B8978

Code:

 Datei dctejqrf.dll empfangen 2008.06.26 04:21:48 (CET)

Status: Beendet

Ergebnis: 9/33 (27.27%)

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3         2008.6.26.0         2008.06.25         -

AntiVir         7.8.0.59         2008.06.25         -

Authentium         5.1.0.4         2008.06.25         -

Avast         4.8.1195.0         2008.06.26         -

AVG         7.5.0.516         2008.06.25         -

BitDefender         7.2         2008.06.26         -

CAT-QuickHeal         9.50         2008.06.25         -

ClamAV         0.93.1         2008.06.25         -

DrWeb         4.44.0.09170         2008.06.26         Trojan.Virtumod.based.16

eSafe         7.0.17.0         2008.06.25         Suspicious File

eTrust-Vet         31.6.5906         2008.06.26         -

Ewido         4.0         2008.06.25         -

F-Prot         4.4.4.56         2008.06.25         -

F-Secure         7.60.13501.0         2008.06.24         -

Fortinet         3.14.0.0         2008.06.25         Virtum!tr

GData         2.0.7306.1023         2008.06.26         -

Ikarus         T3.1.1.26.0         2008.06.26         Trojan.Win32.Vundo.N

Kaspersky         7.0.0.125         2008.06.26         not-a-virus:AdWare.Win32.Virtumonde.zdg

McAfee         5325         2008.06.25         -

Microsoft         1.3704         2008.06.26         Trojan:Win32/Vundo.gen!N

NOD32v2         3219         2008.06.26         -

Norman         5.80.02         2008.06.25         Vundo.gen192

Panda         9.0.0.4         2008.06.26         -

Prevx1         V2         2008.06.26         Malicious Software

Rising         20.50.22.00         2008.06.25         -

Sophos         4.30.0         2008.06.26         Troj/Virtum-Gen

Sunbelt         3.0.1153.1         2008.06.15         -

Symantec         10         2008.06.26         -

TheHacker         6.2.92.362         2008.06.26         -

TrendMicro         8.700.0.1004         2008.06.25         -

VBA32         3.12.6.8         2008.06.25         -

VirusBuster         4.5.11.0         2008.06.23         -

Webwasher-Gateway         6.6.2         2008.06.26         -

weitere Informationen

File size: 99840 bytes

MD5...: 07c9fcb1704626c9e2344467a747f966

SHA1..: 3ba4c475b064540633f92c6b6fb4a31d2c3d22f5

SHA256: 0ca6dcffccf8b06e17df78c4aea34ed7833382db9d99d85063864f701e5b37fc

SHA512: 491e2199ade2ff6f9f22ff162c6d2b97c048a602872d87fbafc64582b8661cd7

1736f31a3a980fe8ec14a563f7dadd2aee06f690b048147ff1a7d36decb68cd0

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10033932

timedatestamp.....: 0x485b9df7 (Fri Jun 20 12:09:27 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.data 0x1000 0x32000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.text 0x33000 0x1076 0x1200 6.12 1f7621376af0687157bbac9041964b52

.rdata 0x35000 0x17000 0x16600 8.00 0f466c269ac2684fcd8076e8bf3ec68f

.idata 0x4c000 0x1000 0x600 4.33 9ddf7ae89778c332aeea2fd93c10f4c2

.reloc 0x4d000 0x1000 0x400 0.87 318d3c76828be15a4b044ee840d43a6e
 

( 6 imports )

> kernel32.dll: HeapCreate, GetLastError, GetStringTypeW, CreateMutexW, GetTickCount, WaitForSingleObject, GetEnvironmentVariableA

> gdi32.dll: EngDeletePalette, GetBitmapBits, EngFillPath, BitBlt, PolyBezier, UpdateColors, EngGradientFill, EngPaint, CreateSolidBrush, SetBkColor, EngBitBlt, CreatePalette, GetPixel

> user32.dll: AppendMenuA, DrawCaption, CheckMenuRadioItem, PostThreadMessageA, DrawFocusRect, wvsprintfA, SetRect, GetDlgItemTextA, UpdateWindow, DefWindowProcA, SendDlgItemMessageA

> advapi32.dll: CryptDecrypt, CryptDestroyHash, ClearEventLogA, CancelOverlappedAccess, CryptSetHashParam, IsWellKnownSid, CloseEventLog, ConvertSidToStringSidA, CryptGenRandom, ElfChangeNotify, ConvertAccessToSecurityDescriptorA

> comdlg32.dll: CommDlgExtendedError, GetSaveFileNameA, dwOKSubclass, ChooseFontA, PrintDlgExA

> shell32.dll: StrRStrW, StrChrW, FreeIconList, StrRChrIW, StrChrIW
 

( 0 exports )

Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=035D998C00329F1B86ED013B3C2E0700BD5B8978

trojan-death

26.06.2008 21:55

ok lade dir bitte The avenger (signatur) und gebe im weissen feld folgendes ein:

Zitat:

files to delete:
C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086013.dll
c:\windows\downloaded program files\ractrl.dll
c:\programme\winrar\rarext.dll
C:\WINDOWS\system32\ieduyxjq.dll

bitte dann das logfile posten und neues hijackthis:daumenhoc

Schwarterl

26.06.2008 22:04

hmm..ok..
also habs mal gemacht. muss dann nur rebooten.
Warte damit noch ein bisserl weil Malware ja rennt. Seit 56min. und das wäre sonst umsonst gewesen..

trojan-death

26.06.2008 22:06

mach es bitte nochmals und dannach direkt rebooten (hab nochmals editiert):daumenhoc

werde montag antworten :aplaus:

Schwarterl

26.06.2008 22:22

ist gut, werde ich machen!
wunderschönes Wochenende!!!

Schwarterl

27.06.2008 00:23

Hi!

Also..Avira hat sich jetzt gemeldet und mal wieder angezeigt den Trash.Gen

habs jetzt mal auf VirusTotal geladen.. hier das Ergebniss:

Code:

 Datei A0086017.dll empfangen 2008.06.27 00:42:49 (CET)
 

Ergebnis: 2/33 (6.07%)

        

        

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2008.6.26.0        2008.06.26        -

AntiVir        7.8.0.59        2008.06.26        TR/Trash.Gen

Authentium        5.1.0.4        2008.06.27        -

Avast        4.8.1195.0        2008.06.26        -

AVG        7.5.0.516        2008.06.26        -

BitDefender        7.2        2008.06.26        -

CAT-QuickHeal        9.50        2008.06.26        -

ClamAV        0.93.1        2008.06.26        -

DrWeb        4.44.0.09170        2008.06.26        -

eSafe        7.0.17.0        2008.06.26        -

eTrust-Vet        31.6.5907        2008.06.26        -

Ewido        4.0        2008.06.26        -

F-Prot        4.4.4.56        2008.06.25        -

F-Secure        7.60.13501.0        2008.06.26        -

Fortinet        3.14.0.0        2008.06.27        -

GData        2.0.7306.1023        2008.06.26        -

Ikarus        T3.1.1.26.0        2008.06.26        -

Kaspersky        7.0.0.125        2008.06.27        -

McAfee        5326        2008.06.26        -

Microsoft        None        2008.06.27        -

NOD32v2        3222        2008.06.26        -

Norman        5.80.02        2008.06.26        -

Panda        9.0.0.4        2008.06.26        -

Prevx1        V2        2008.06.27        -

Rising        20.50.32.00        2008.06.26        -

Sophos        4.30.0        2008.06.26        -

Sunbelt        3.0.1176.1        2008.06.26        -

Symantec        10        2008.06.27        -

TheHacker        6.2.92.362        2008.06.26        -

TrendMicro        8.700.0.1004        2008.06.26        -

VBA32        3.12.6.8        2008.06.26        -

VirusBuster        4.5.11.0        2008.06.23        -

Webwasher-Gateway        6.6.2        2008.06.26        Trojan.Trash.Gen

weitere Informationen

File size: 323072 bytes

MD5...: 601bb7e1a459ae0e58eb82145ac9b1c0

SHA1..: 2cc654d256a0dd3d3d2e3d75f802534e8e0dc6c9

SHA256: 04bd0ebea8d4b7f49d696e09aeef51423a3ebf7703bd2ae099b63d45b705cd3c

SHA512: 60a61f0606ef856321745da2a9c3416cf86d30735614671c7206166b46e47a1c

f725b7f6a8c811e3a3545e2d59cddf4f616472c313bb9c981af759c6a39d47a4

PEiD..: -

PEInfo: -

Avira hat sich zum gleichen Zeitpunkt gemeldet wie Malware drüber gelaufen ist..also eigentlich eh logisch :rolleyes:

ok..es geht weiter..der liebe TR/Trash.Gen ist anscheinend schon recht weit verbreitet auf meinem Computer. Immer mehr Meldungen tauchen auf... :koch:
Bei mir gibts ja gar nix auszuspionieren!!! Die sollen mich in Ruhe lassen!!! :pfui:

puh...endlich ist auch Malware fertig!
Hier der log. Man beachte die Dauer..unfassbar..

Code:

Malwarebytes' Anti-Malware 1.18

Datenbank Version: 886
 

01:21:54 27.06.2008

mbam-log-6-27-2008 (01-21-54).txt
 

Scan Art: Komplett Scan (C:\|)

Objekte gescannt: 124424

Scan Dauer: 3 hour(s), 12 minute(s), 30 second(s)
 

Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Datei Objekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)
 

Infizierte Speicher Module:

(Keine Malware Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine Malware Objekte gefunden)
 

Infizierte Datei Objekte der Registrierung:

(Keine Malware Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine Malware Objekte gefunden)
 

Infizierte Dateien:

(Keine Malware Objekte gefunden)

Schwarterl

27.06.2008 07:30

so..hier ist nun auch avenger log!

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

h**p://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086013.dll" not found!

Deletion of file "C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086013.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "c:\windows\downloaded program files\ractrl.dll" not found!

Deletion of file "c:\windows\downloaded program files\ractrl.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "c:\programme\winrar\rarext.dll" deleted successfully.

File "C:\WINDOWS\system32\ieduyxjq.dll" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.
 
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

h**p://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.

und der neue von HiJackThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:27:59, on 27.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\Dell AIO Printer A920\dlbkbmon.exe

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://w*w.chello.at/autoconfig/deat.ins

O2 - BHO: {2ba4fcdf-6eff-f8ea-3914-7bc72ea54176} - {67145ae2-7cb7-4193-ae8f-ffe6fdcf4ab2} - C:\WINDOWS\system32\ieduyxjq.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.chello.at/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - h**ps://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
 

--

End of file - 7773 bytes

trojan-death

27.06.2008 11:18

Also das Logfile scheint jetzt sauber..... Meldet dir AntiVir viren oder sonst ein Progi???

Schwarterl

27.06.2008 13:37

nein. also zur Zeit geht grad alles :Boogie:
:aplaus: DANKESCHÖN!!!!!!!!

Schwarterl

27.06.2008 23:59

:snyper: hab heute Nachmittag schon wieder eine Meldung bekommen. Wieder gleicher Trojaner. Problem nur: hab mal wieder reflexartig gelöscht.. also kann ichs ned dort hochladen...

nochdigger

28.06.2008 07:26

Moin

wo wurde der Fund gemacht?

Deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

Anschließend Antivir updaten und im abgesicherten Modus (beim start F8 drücken) scannen lassen, berichte bitte ob noch etwas gefunden wurde.

Erstelle eine Übersicht mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Erstelle ein frisches Hijackthis Log da muss noch aufgeräumt werden;)

MFG

Schwarterl

28.06.2008 10:41

Hi!

wurde hier gefunden: C:\System Volume Information\_restore{8D0E4D27-B619-487C-B83D-730B4090F30A}\RP625\A0086014.dll.

Rest kommt gleich

edit:
Update accessing h**p://dl6.avgate.net failed.

No new files have been downloaded.

edit2: jetzt gehts..mein toller Windows Firewall hat Avira geblockt..sehr intelligent..

Antivir lässt sich nicht updaten :-(

nochdigger

28.06.2008 11:27

Hallo

Zitat:

jetzt gehts..mein toller Windows Firewall hat Avira geblockt..sehr intelligent..

entweder du erlaubst die Verbindung oder beendest die Firewall für die dauer des Downloads:rolleyes:.

Bitte die Filelist nicht vergessen...

MFG

Schwarterl

29.06.2008 09:08

Code:

Verzeichnis von C:\
 

29.06.2008  09:39       754.974.720 pagefile.sys

27.06.2008  01:27             5.058 avenger.txt

24.06.2008  13:56             2.387 rapport.txt

Code:

 Verzeichnis von C:\WINDOWS\system32
 

26.06.2008  09:04            12.628 wpa.dbl

25.06.2008  09:18                56 ezsidmv.dat

24.06.2008  21:34           199.240 dgMWyGgh.ini

24.06.2008  21:32           199.240 dgMWyGgh.ini2

24.06.2008  13:51                 0 tmp.txt

24.06.2008  13:51             2.678 tmp.reg

24.06.2008  00:11             3.002 CONFIG.NT

23.06.2008  17:24         1.728.881 dccdmqce.tmp

23.06.2008  16:04         1.729.353 iitotvuk.ini

05.06.2008  08:34           235.168 FNTCACHE.DAT

29.05.2008  16:35        17.486.968 MRT.exe

Code:

Verzeichnis von C:\WINDOWS\Prefetch
 

29.06.2008  09:58            11.160 FIND.EXE-0EC32F1E.pf

29.06.2008  09:58            12.908 CMD.EXE-087B4001.pf

29.06.2008  09:57            37.934 WINRAR.EXE-3588DFE8.pf

29.06.2008  09:57            43.612 VERCLSID.EXE-3667BD89.pf

29.06.2008  09:51            79.920 NMINDEXSTORESVR.EXE-1DBCF9FD.pf

29.06.2008  09:51            33.780 AVWSC.EXE-3AC95876.pf

29.06.2008  09:46            60.152 WMIPRVSE.EXE-28F301A9.pf

29.06.2008  09:46            94.382 FIREFOX.EXE-1D57670A.pf

29.06.2008  09:45            70.488 USNSVC.EXE-1D8C2356.pf

29.06.2008  09:43           101.502 AVAST.SETUP-2B043760.pf

29.06.2008  09:43            79.154 SKYPEPM.EXE-03F1BFBD.pf

29.06.2008  09:42            45.354 IPODSERVICE.EXE-233792DA.pf

29.06.2008  09:42            83.200 SVCHOST.EXE-3530F672.pf

29.06.2008  09:42            20.774 WSCNTFY.EXE-1B24F5EB.pf

29.06.2008  09:42            54.434 WUAUCLT.EXE-399A8E72.pf

29.06.2008  09:42         1.130.244 NTOSBOOT-B00DFAAD.pf

29.06.2008  03:06            19.884 LOGONUI.EXE-0AF22957.pf

28.06.2008  16:35            68.512 UPDATE.EXE-3A80F1D2.pf

28.06.2008  16:35            13.698 AVSCAN.EXE-0D0CD933.pf

28.06.2008  16:34            18.036 PREUPD.EXE-18CBCD87.pf

28.06.2008  16:34            29.794 ALG.EXE-0F138680.pf

28.06.2008  16:34            34.820 IMAPI.EXE-0BF740A4.pf

28.06.2008  16:34            51.596 ASHMAISV.EXE-24E25810.pf

28.06.2008  16:34            33.070 ASHWEBSV.EXE-091EF0CF.pf

28.06.2008  11:54            52.012 AVGUARD.EXE-1B26F309.pf

28.06.2008  11:50            49.216 AVNOTIFY.EXE-0B59FC42.pf

28.06.2008  11:48            21.016 RUNDLL32.EXE-327ED30F.pf

28.06.2008  11:45            38.098 AVCONFIG.EXE-2E17BE74.pf

28.06.2008  11:45            17.030 RUNDLL32.EXE-29ACD517.pf

28.06.2008  11:43            14.806 REGSVR32.EXE-25EEFE2F.pf

28.06.2008  11:43            26.940 AVGNT.EXE-18356F59.pf

28.06.2008  11:42            31.826 RUNDLL32.EXE-3910966A.pf

28.06.2008  11:39            79.252 AVCENTER.EXE-324B1681.pf

28.06.2008  11:26            30.992 RUNDLL32.EXE-147710F4.pf

28.06.2008  08:38            67.268 DFRGNTFS.EXE-269967DF.pf

28.06.2008  08:38            17.168 DEFRAG.EXE-273F131E.pf

28.06.2008  08:38           389.462 Layout.ini

28.06.2008  08:01             6.172 OSA.EXE-0082CBE3.pf

28.06.2008  08:01             7.002 ACSTART16.EXE-0687143C.pf

28.06.2008  08:01            12.164 READER_SL.EXE-36135169.pf

28.06.2008  08:00            26.878 ICQLITE.EXE-2AEFACA7.pf

28.06.2008  08:00            59.252 SKYPE.EXE-21F19BC8.pf

28.06.2008  08:00            13.080 NMBGMONITOR.EXE-0BC10095.pf

28.06.2008  08:00            11.732 MSNMSGR.EXE-091111D0.pf

28.06.2008  08:00            14.112 CTFMON.EXE-0E17969B.pf

28.06.2008  08:00            10.006 ITUNESHELPER.EXE-08906EB7.pf

28.06.2008  08:00            24.134 ASHDISP.EXE-0B874892.pf

28.06.2008  08:00             7.624 DLBKBMON.EXE-2A1B4585.pf

28.06.2008  08:00            20.226 JUSCHED.EXE-273776BA.pf

28.06.2008  08:00            11.126 DLBKBMGR.EXE-0B8662C9.pf

28.06.2008  08:00             8.750 QTTASK.EXE-2D7EEF34.pf

28.06.2008  08:00             7.154 NEROCHECK.EXE-092C6DFA.pf

28.06.2008  08:00            52.160 EXPLORER.EXE-082F38A9.pf

28.06.2008  08:00            45.056 USERINIT.EXE-30B18140.pf

27.06.2008  20:01            80.582 HELPSVC.EXE-2878DDA2.pf

27.06.2008  15:09            53.952 GUARDGUI.EXE-3AFB6D88.pf

27.06.2008  14:03           111.126 IEXPLORE.EXE-2CA9778D.pf

27.06.2008  08:28            29.744 NOTEPAD.EXE-336351A9.pf

27.06.2008  08:26            23.004 HIJACKTHIS.EXE-1CB4CC24.pf

27.06.2008  08:00             5.008 ZIP.EXE-1BAD456F.pf

27.06.2008  08:00            11.462 ATTRIB.EXE-39EAFB02.pf

27.06.2008  08:00            22.462 CLEANUP.EXE-04D3D6D1.pf

27.06.2008  06:55             6.218 LOGON.SCR-151EFAEA.pf

27.06.2008  01:21            14.536 REGEDIT.EXE-1B606482.pf

24.06.2008  21:54           125.962 FIREFOX.EXE-17EE503B.pf

24.06.2008  21:54           103.326 ACRORD32.EXE-0EC716D9.pf

24.06.2008  09:20            72.214 SSMYPICS.SCR-01C62024.pf

23.06.2008  18:49            38.170 WGATRAY.EXE-0ED38BED.pf

23.06.2008  17:51            39.922 WLLOGINPROXY.EXE-33926225.pf

23.06.2008  16:30            82.944 POKER.EXE-0AB5048C.pf

              70 Datei(en)      4.220.754 Bytes

               0 Verzeichnis(se), 12.702.289.920 Bytes frei

Code:

Verzeichnis von C:\WINDOWS
 

29.06.2008  09:48         1.308.129 WindowsUpdate.log

29.06.2008  09:41            54.156 QTFont.qfn

29.06.2008  09:40                 0 0.log

29.06.2008  09:40               159 wiadebug.log

29.06.2008  09:40                50 wiaservc.log

29.06.2008  09:39             2.048 bootstat.dat

29.06.2008  03:06            32.622 SchedLgU.Txt

29.06.2008  02:26             1.409 QTFont.for

28.06.2008  12:04           379.164 ntbtlog.txt

25.06.2008  18:26             6.821 KB892130.log

25.06.2008  18:25            21.750 setupapi.log

24.06.2008  19:15            24.639 BM7b4ba697.txt

24.06.2008  18:58           118.295 BM7b4ba697.xml

24.06.2008  17:18                22 pskt.ini

24.06.2008  14:46               116 NeroDigital.ini

24.06.2008  13:54           184.314 setupact.log

24.06.2008  00:38            21.174 KB951698.log

24.06.2008  00:19            15.150 KB951376-v2.log

23.06.2008  17:35            30.688 Irremote.ini

20.06.2008  13:53           178.230 iis6.log

20.06.2008  13:53           345.816 comsetup.log

20.06.2008  13:53           208.837 ntdtcsetup.log

20.06.2008  13:53             1.374 imsins.log

20.06.2008  13:53           434.610 tsoc.log

20.06.2008  13:53            51.429 ocmsn.log

20.06.2008  13:53           555.050 ocgen.log

20.06.2008  13:53            56.547 msgsocm.log

20.06.2008  13:53         1.123.113 FaxSetup.log

11.06.2008  11:01             1.374 imsins.BAK

11.06.2008  11:01            19.582 KB950759-IE7.log

11.06.2008  11:01           117.676 updspapi.log

11.06.2008  10:58            10.131 KB950762.log

11.06.2008  10:57             8.320 KB950760.log

11.06.2008  10:57             9.753 KB951376.log

06.06.2008  19:05                10 popcinfo.dat

28.05.2008  14:29            11.992 KB932823-v3.log

27.05.2008  14:32               446 dellstat.ini

Code:

Verzeichnis von C:\WINDOWS\tasks
 

29.06.2008  09:40                 6 SA.DAT

Code:

Verzeichnis von C:\WINDOWS\temp
 

29.06.2008  09:40            16.384 Perflib_Perfdata_580.dat

29.06.2008  02:25            16.384 Perflib_Perfdata_578.dat

27.06.2008  13:55            16.384 Perflib_Perfdata_584.dat

27.06.2008  06:45            16.384 Perflib_Perfdata_5b0.dat

25.06.2008  18:43                 0 etilqs_1BOdqMhSv8aKNO8-journal

25.06.2008  18:43             1.028 etilqs_kFDYd2t3E9GeZwj

25.06.2008  18:43            51.200 etilqs_kYbMZlUSiWc35Hm

25.06.2008  09:02            16.384 Perflib_Perfdata_57c.dat

25.06.2008  00:41            52.084 b02_appcompat.txt

24.06.2008  21:35            16.384 Perflib_Perfdata_588.dat

Code:

Verzeichnis von C:\DOKUME~1\SCHWAR~1\LOKALE~1\Temp
 

29.06.2008  09:58           123.647 filelist.txt

29.06.2008  09:45             1.705 jusched.log

29.06.2008  09:43               512 ~DFE2A.tmp

29.06.2008  09:43            65.536 ~DFCCC.tmp

29.06.2008  09:43               512 ~DFB7AD.tmp

29.06.2008  09:43            65.536 ~DFB687.tmp

29.06.2008  09:42            16.384 ~DFFD92.tmp

29.06.2008  09:42               512 ~DFCE6E.tmp

29.06.2008  09:42            16.384 ~DFCC8D.tmp

29.06.2008  02:29               983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}12615.html

29.06.2008  02:27            16.384 ~DFBC90.tmp

29.06.2008  02:27            16.384 ~DFA1C8.tmp

28.06.2008  16:35            16.384 ~DFE0E1.tmp

28.06.2008  16:34            16.384 ~DF8FDE.tmp

28.06.2008  08:01            16.384 ~DF132E.tmp

28.06.2008  08:01            16.384 ~DFE28D.tmp

27.06.2008  14:00            16.384 ~DF4DC.tmp

27.06.2008  14:00            16.384 ~DFEEA8.tmp

27.06.2008  08:01            16.384 ~DF6AA9.tmp

27.06.2008  08:01            16.384 ~DF5747.tmp

26.06.2008  22:42                 0 2qs2C5.tmp

26.06.2008  21:54            49.152 ~DFC002.tmp

26.06.2008  09:43                 0 pkmA3.tmp

25.06.2008  09:07        22.414.120 SkypeSetup.exe

25.06.2008  09:05            16.384 ~DF20D7.tmp

25.06.2008  09:05            16.384 ~DF87D3.tmp

24.06.2008  18:59            22.371 bsub.tmp

24.06.2008  18:59            22.371 bsearch.tmp

24.06.2008  18:59            22.371 b720x300.tmp

24.06.2008  18:59            22.371 b728x90.tmp

24.06.2008  18:59            22.371 b336x280.tmp

24.06.2008  18:59            22.371 b468x60.tmp

24.06.2008  18:59            22.371 b300x250.tmp

24.06.2008  18:59            22.371 b250x250.tmp

24.06.2008  18:59            22.371 b300x100.tmp

24.06.2008  18:59            22.371 b240x400.tmp

24.06.2008  18:59            22.371 b234x60.tmp

24.06.2008  18:59            22.371 b160x600.tmp

24.06.2008  18:59            22.371 b180x150.tmp

24.06.2008  18:59            22.371 b125x125.tmp

24.06.2008  18:59            22.371 b120x90.tmp

24.06.2008  18:59            22.371 b120x600.tmp

24.06.2008  18:59            22.371 b120x240.tmp

24.06.2008  17:19            15.084 3d2_appcompat.txt

so...hoffe das ist so ok :-)

ich dachte ich poste dir jetzt auch noch gleich meinen avira log..hat schon wieder was gefunden..nerviger weise natürlich gleich einen neuen Trojaner..JUHUU...

Code:



Avira AntiVir Personal

Report file date: Samstag, 28. Juni 2008  12:06
 

Scanning for 1365397 virus strains and unwanted programs.
 

Licensed to:      Avira AntiVir PersonalEdition Classic

Serial number:    0000149996-ADJIE-0001

Platform:         Windows XP

Windows version:  (Service Pack 2)  [5.1.2600]

Boot mode:        Save mode

Username:         schwarterl

Computer name:    FEST
 

Version information:

BUILD.DAT     : 8.1.0.308       16478 Bytes  28.05.2008 17:03:00

AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18.03.2008 09:02:56

AVSCAN.DLL    : 8.1.1.0         53505 Bytes  07.02.2008 08:43:37

LUKE.DLL      : 8.1.2.9        151809 Bytes  28.02.2008 08:41:23

LUKERES.DLL   : 8.1.2.1         12033 Bytes  21.02.2008 08:28:40

ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 10:33:34

ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24.06.2008 09:52:06

ANTIVIR2.VDF  : 7.0.5.2          2048 Bytes  24.06.2008 09:52:10

ANTIVIR3.VDF  : 7.0.5.17       102912 Bytes  27.06.2008 09:52:11

Engineversion : 8.1.0.59  

AEVDF.DLL     : 8.1.0.5        102772 Bytes  25.02.2008 09:58:21

AESCRIPT.DLL  : 8.1.0.44       278907 Bytes  23.06.2008 22:16:34

AESCN.DLL     : 8.1.0.22       119157 Bytes  23.06.2008 22:16:33

AERDL.DLL     : 8.1.0.20       418165 Bytes  23.06.2008 22:16:32

AEPACK.DLL    : 8.1.1.6        364918 Bytes  23.06.2008 22:16:29

AEOFFICE.DLL  : 8.1.0.20       192891 Bytes  23.06.2008 22:16:28

AEHEUR.DLL    : 8.1.0.32      1274231 Bytes  23.06.2008 22:16:26

AEHELP.DLL    : 8.1.0.15       115063 Bytes  23.06.2008 22:16:24

AEGEN.DLL     : 8.1.0.29       307573 Bytes  23.06.2008 22:16:23

AEEMU.DLL     : 8.1.0.6        430451 Bytes  23.06.2008 22:16:22

AECORE.DLL    : 8.1.0.31       168310 Bytes  23.06.2008 22:16:19

AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23.01.2008 17:07:53

AVPREF.DLL    : 8.0.0.1         25857 Bytes  18.02.2008 10:37:50

AVREP.DLL     : 7.0.0.1        155688 Bytes  16.04.2007 13:26:47

AVREG.DLL     : 8.0.0.0         30977 Bytes  23.01.2008 17:07:49

AVARKT.DLL    : 1.0.0.23       307457 Bytes  12.02.2008 08:29:23

AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28.02.2008 08:31:31

SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23.01.2008 17:08:39

NETNT.DLL     : 8.0.0.1          7937 Bytes  25.01.2008 12:05:10

RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10.03.2008 14:37:25

RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06.03.2008 12:02:11
 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, 

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium
 

Start of the scan: Samstag, 28. Juni 2008  12:06
 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned
 

Starting master boot sector scan:

Master boot sector HD0

      [INFO]      No virus was found!
 

Start scanning boot sectors:

Boot sector 'C:\'

      [INFO]      No virus was found!
 

Starting to scan the registry.

The registry was scanned ( '34' files ).
 
 

Starting the file scan:
 

Begin scan in 'C:\'

C:\pagefile.sys

      [WARNING]   The file could not be opened!

C:\Programme\Hijackthis\backups\backup-20080623-225806-344.dll

      [DETECTION] Is the Trojan horse TR/Monder.ZM

      [NOTE]      The file was deleted!

C:\Programme\Hijackthis\backups\backup-20080623-225906-320.dll

      [DETECTION] Is the Trojan horse TR/Monder.ZM

      [NOTE]      The file was deleted!

C:\WINDOWS\system32\qvksvqww.dll

      [DETECTION] Is the Trojan horse TR/Monder.ZM

      [NOTE]      The file was deleted!
 
 

End of the scan: Samstag, 28. Juni 2008  16:15

Used time:  4:09:03 min
 

The scan has been done completely.
 

   7522 Scanning directories

 543366 Files were scanned

      3 viruses and/or unwanted programs were found

      0 Files were classified as suspicious:

      3 files were deleted

      0 files were repaired

      0 files were moved to quarantine

      0 files were renamed

      1 Files cannot be scanned

 543363 Files not concerned

   2636 Archives were scanned

      1 Warnings

      3 Notes

soo..und weils so schön ist gleich auch noch HiJackThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:06:28, on 29.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe

C:\Programme\Dell AIO Printer A920\dlbkbmon.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Skype\Plugin Manager\SkypePM.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Hijackthis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.chello.at/autoconfig/deat.ins

O2 - BHO: {2ba4fcdf-6eff-f8ea-3914-7bc72ea54176} - {67145ae2-7cb7-4193-ae8f-ffe6fdcf4ab2} - C:\WINDOWS\system32\ieduyxjq.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.chello.at/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
 

--

End of file - 7773 bytes

nochdigger

29.06.2008 09:51

Hallo

lass bitte Combofix dein System säubern.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

Schwarterl

30.06.2008 09:05

Code:

ComboFix 08-06-20.4 - schwarterl 2008-06-29 23:37:46.2 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\schwarterl\Desktop\ComboFix.exe
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-05-28 bis 2008-06-29  ))))))))))))))))))))))))))))))

.
 

2008-06-29 23:15 . 2008-06-29 23:15        <DIR>        d--------        C:\Programme\CCleaner

2008-06-29 02:26 . 2008-06-29 12:00        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-06-29 02:26 . 2008-06-29 02:26        1,409        --a------        C:\WINDOWS\QTFont.for

2008-06-26 21:41 . 2008-06-26 21:41        <DIR>        d--------        C:\Programme\Runscanner

2008-06-25 09:18 . 2008-06-25 09:18        56        --ah-----        C:\WINDOWS\system32\ezsidmv.dat

2008-06-25 09:15 . 2008-06-25 09:15        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Skype

2008-06-24 21:57 . 2008-06-24 21:57        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM

2008-06-24 17:32 . 2008-06-24 17:32        <DIR>        d--------        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\Malwarebytes

2008-06-24 17:29 . 2008-06-24 17:32        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-06-24 17:29 . 2008-06-24 17:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-06-24 17:29 . 2008-06-19 17:48        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-06-24 17:29 . 2008-06-19 17:47        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-06-24 14:55 . 2008-06-24 14:55        <DIR>        d--------        C:\Deckard

2008-06-24 14:11 . 2008-06-24 14:11        <DIR>        d--------        C:\WINDOWS\system32\Kaspersky Lab

2008-06-24 14:11 . 2008-06-24 14:11        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2008-06-24 13:49 . 2006-03-19 14:12        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen

2008-06-24 13:49 . 2006-03-19 14:01        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmenü

2008-06-24 13:49 . 2006-03-19 14:01        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung

2008-06-24 13:49 . 2006-03-19 14:01        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen

2008-06-24 13:49 . 2006-03-19 14:01        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Favoriten

2008-06-24 13:49 . 2006-03-19 14:01        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung

2008-06-24 13:49 . 2006-03-19 14:01        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

2008-06-24 13:49 . 2008-06-24 13:49        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator

2008-06-24 13:19 . 2008-06-24 13:51        2,678        --a------        C:\WINDOWS\system32\tmp.reg

2008-06-24 00:01 . 2008-06-24 00:01        <DIR>        d--------        C:\Programme\Avira

2008-06-24 00:01 . 2008-06-24 00:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-06-23 17:23 . 2008-06-23 17:24        1,728,881        --ahs----        C:\WINDOWS\system32\dccdmqce.tmp

2008-06-21 10:27 . 2008-06-21 12:01        <DIR>        d--------        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\Playrix Entertainment

2008-06-12 15:31 . 2008-06-12 15:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fashion Solitaire 1.2

2008-06-11 10:46 . 2008-06-14 19:57        273,024        -----c---        C:\WINDOWS\system32\dllcache\bthport.sys

2008-06-09 15:46 . 2008-06-09 15:46        <DIR>        d--------        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\Zylom

2008-06-09 15:45 . 2008-06-09 15:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom

2008-06-04 21:08 . 2008-06-04 21:08        <DIR>        d--------        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\EA

2008-06-01 12:12 . 2008-06-01 12:12        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grey Alien Games
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-29 21:36        ---------        d-----w        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\Skype

2008-06-29 15:11        ---------        d-----w        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\skypePM

2008-06-23 16:03        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-06-23 16:01        ---------        d-----w        C:\Programme\Google

2008-06-21 16:05        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-06-21 14:01        ---------        d-----w        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\Azureus

2008-06-21 13:50        ---------        d-----w        C:\Programme\Azureus

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\drivers\bthport.sys

2008-05-31 16:45        0        ----a-w        C:\Programme\temp01

2008-05-25 13:16        ---------        d-----w        C:\Programme\win2day

2008-05-22 11:51        58,456        ----a-w        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2008-05-08 12:28        202,752        ----a-w        C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-07 13:29        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-05-07 13:15        ---------        d-----w        C:\Dokumente und Einstellungen\schwarterl\Anwendungsdaten\AdobeUM

2008-05-07 05:14        1,293,312        ----a-w        C:\WINDOWS\system32\quartz.dll

2008-05-04 13:47        ---------        d-----w        C:\Programme\BSW

2008-05-01 19:35        ---------        dcsh--w        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-05-01 19:34        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-04-23 04:16        826,368        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-03-03 18:23        32        ----a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat

2007-12-30 21:23        14,852        ----a-w        C:\Programme\settings.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{67145ae2-7cb7-4193-ae8f-ffe6fdcf4ab2}]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 15:18 94208]

"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Dell AIO Printer A920"="C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe" [2003-06-02 20:32 270336]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49 3139164]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-08-15 20:15 271672]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]

AutoCAD Startup Accelerator.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2005-03-05 16:18:22 10872]

Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\ICQLite\\ICQLite.exe"=

"C:\\Programme\\Messenger\\msmsgs.exe"=

"C:\\WINDOWS\\system32\\dplaysvr.exe"=

"C:\\Spiele\\Age of Empires 2\\age2_x1.exe"=

"C:\\Programme\\Internet Explorer\\iexplore.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\\Programme\\Starcraft\\StarCraft.exe"=

"C:\\Programme\\Azureus\\Azureus.exe"=

"C:\\Programme\\Winamp\\winamp.exe"=

"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=

"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\update.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

S3 HCW77BDA;Hauppauge Nova-T Stick DVB-T Tuner;C:\WINDOWS\system32\Drivers\hcw70bda.sys [2006-04-06 18:21]

S3 hcw99rc;Hauppauge Nova-DT IR Driver;C:\WINDOWS\system32\Drivers\hcw99rc.sys [2006-04-29 00:53]

S4 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2007-11-28 01:33]
 

.

Inhalt des "geplante Tasks" Ordners

"2007-08-26 19:02:45 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programme\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net

Rootkit scan 2008-06-29 23:42:43

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-06-29 23:46:47

ComboFix-quarantined-files.txt  2008-06-29 21:45:52

ComboFix2.txt  2008-06-29 10:12:49
 

              11 Verzeichnis(se), 13,145,059,328 Bytes frei

              13 Verzeichnis(se), 13,134,692,352 Bytes frei
 

134        --- E O F ---        2008-06-20 11:53:28

nochdigger

30.06.2008 16:12

Hallo

lösche den Inhalt dieses Ordners
C:\Programme\Hijackthis\backups\
lass dann bitte den Ccleaner laufen.

Löschen mit Avenger (du weißt ja schon wie es geht)

Code:

files to delete:

C:\WINDOWS\system32\dgMWyGgh.ini

C:\WINDOWS\system32\dgMWyGgh.ini2

C:\WINDOWS\system32\dccdmqce.tmp

C:\WINDOWS\system32\iitotvuk.ini

poste anschließend das Log und berichte bitte.

MFG

Schwarterl

30.06.2008 18:44

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

h**p://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  file "C:\WINDOWS\system32\dgMWyGgh.ini" not found!

Deletion of file "C:\WINDOWS\system32\dgMWyGgh.ini" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\dgMWyGgh.ini2" not found!

Deletion of file "C:\WINDOWS\system32\dgMWyGgh.ini2" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\WINDOWS\system32\dccdmqce.tmp" deleted successfully.
 

Error:  file "C:\WINDOWS\system32\iitotvuk.ini" not found!

Deletion of file "C:\WINDOWS\system32\iitotvuk.ini" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

zur zeit scheint alles zu passen..eine sache ist allerdings komisch: mein Avast ist aus der Symbolleiste verschwunden...

Alle Zeitangaben in WEZ +1. Es ist jetzt 22:08 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55