Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google sucht nicht (https://www.trojaner-board.de/55650-google-sucht.html)

hatschi80 10.07.2008 08:15
Google sucht nicht
 
Hallo ihr Helfer in der Not :party:

Seit ca. 1 Woche kann ich über google (die anderen Suchmaschinen sind ebenfalls betroffen) nix mehr suchen. Weder über Firefox, noch über'n IE. Die Seite läd zwar jeweils, aber über das Suchfeld geht gar nichts mehr. Egal welcher Suchbegriff, es passiert gar nichts (ganz selten mal sucht er doch, aber das ist vielleicht 1:100 ... vor allem, wenn ich den Browser grade neu gestartet hab klappts eher.)

Hab bereit avast! mehrfach drüber laufen lassen und alles was er gefunden hat entfernen lassen.

In meiner Suche (ist echt hinderlich auf Fehlersuche zu gehen, wenn keine Suchmaschine funktioniert) bin ich dann auf euer Board gestoßen. Die ähnlichen Probleme, die ich gefunden habe, sind aber alle entweder gar nicht (zumindest wurde die Lösung nicht gepostet), oder userspezifisch gelöst worden, so dass ich damit nicht viel anfangen konnte.
Nun hoffe ich, dass ihr mir dennoch irgendwie helfen könnt, denn ich hab wenig Lust, die ganze Kiste platt zu machen... :heulen:

Hab mir gestern schon mal HJT runtergeladen, würde euch das log helfen?

Liebe Grüße schon mal im Voraus
hatschi80

PS.: Ach so, ich hab XP drauf...

blow-in 10.07.2008 09:29
Hallo Hatschi
Poste doch erst einmal ein Log von Hijackthis nach Anleitung. Nicht vergessen vorher aktive Links und Klarnamen zu editieren. (http:// durch h**p:// ersetzen)

hatschi80 10.07.2008 13:09
Hallo, hier mein HJT-log ... hoffe ich hab alles richtig editiert...
____________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:00, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMcf9d175a] Rundll32.exe "C:\WINDOWS\system32\duoqvfbw.dll",s
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7245 bytes

blow-in 10.07.2008 13:32
Hallo Hatschi
geh mal auf Virustotal und lade die Datei hoch.
Zitat:
C:\WINDOWS\system32\duoqvfbw.dll
Der Scan kann etwas dauern. Poste das Ergebnis dann komplett.
Führe dann noch einmal HJT aus aber Do a system scan only.
Dann einen Haken vor alle Zeilen
Zitat:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)
Danach auf Fix checked und neu Starten lassen

hatschi80 10.07.2008 14:10
Virus Total liefert das hier...
Ziemlich viel rot, wenn ihr mich fragt *bibber*

Nehme den Rest der "Anweisungen" gleich in Angriff...

___________________________________

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 Vundo.U
BitDefender 7.2 2008.07.10 Trojan.Vundo.EWZ
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 Trojan.Virtumod.based.21
eSafe 7.0.17.0 2008.07.09 Win32.Monderc.gen
eTrust-Vet 31.6.5943 2008.07.10 Win32/Vundo.AHR
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 W32/Virtumonde.AB!Eldorado
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 Generic.A
GData 2.0.7306.1023 2008.07.10 Trojan.Win32.Monderc.gen
Ikarus T3.1.1.26.0 2008.07.10 Virus.Trojan.Win32.Monderc
Kaspersky 7.0.0.125 2008.07.10 Trojan.Win32.Monderc.gen
McAfee 5335 2008.07.09 Vundo
Microsoft 1.3704 2008.07.10 Trojan:Win32/Vundo.gen!R
NOD32v2 3258 2008.07.10 -
Norman 5.80.02 2008.07.10 Vundo.gen192
Panda 9.0.0.4 2008.07.09 Spyware/Virtumonde
Prevx1 V2 2008.07.10 Malicious Software
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 Mal/Generic-A
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 Trojan.Vundo
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 TROJ_VUNDO.FC
VBA32 3.12.6.9 2008.07.10 Trojan.Win32.Monderc.gen
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.10 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 90112 bytes
MD5...: 4e0d3a2b878b74f27126bdabcb2519d4
SHA1..: 53d2b35ead7cf0edc0b26ce553542a91b3afb287
SHA256: fdf105973d9b2d701408d971839c49105352f9ec6be4af93e888cb535ec35a22
SHA512: cb42a09382c3d027db165ea28a6e00aaa06e3742de6b69f40da2ae2187c78e7c
ce339323159ec474736d3f02cfadead63c68c75c1992319e3d423b93f5e32a4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002a957
timedatestamp.....: 0x247b9452 (Thu May 25 05:51:14 1989)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x1000 0x29000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x2a000 0x109c 0x1200 6.13 c09b727c8ab555b1540e1fe662d5cfc1
.rdata 0x2c000 0x15000 0x14200 8.00 fa7666e4d56f6da0a3f2c61c33140cda
.idata 0x41000 0x1000 0x400 4.59 9ac59bcc24ad2fa823a88f9f080f50b4
.reloc 0x42000 0x1000 0x400 0.90 f28920d279419d1cf2826af282572318

( 4 imports )
> kernel32.dll: lstrcatA, GetEnvironmentStrings, LoadResource, lstrcmpiW, GetEnvironmentVariableA
> gdi32.dll: CreatePalette, CreateDCW, GetTextFaceA, BRUSHOBJ_ulGetBrushColor, EngPaint, CreateHatchBrush, EngAcquireSemaphore, GetTextColor, CloseFigure, GetPixel, CreateRoundRectRgn, CreateDCA
> comctl32.dll: DrawInsert, ImageList_GetImageCount, CreateUpDownControl, ImageList_DragEnter, FlatSB_EnableScrollBar, ImageList_EndDrag, ImageList_SetBkColor, ImageList_Draw, PropertySheet, InitCommonControls, CreatePropertySheetPage, MakeDragList
> user32.dll: SetDlgItemTextA, CallWindowProcA, MsgWaitForMultipleObjects, CascadeWindows, ValidateRect, DrawAnimatedRects, SetRect

( 0 exports )
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=34531D0F00329F1B60ED013B3C2E07000F7CC7C4

hatschi80 10.07.2008 14:16
Hab jetzt (hoffe, das hatte ich richtig verstanden?) nur vor die drei angegebenen Zeilen ein Häkchen gesetzt und die fixen lassen...

Soll ich die neue *.log posten? Oder sollte ich vor alle Zeilen des Scans ein Häkchen setzen und fixen lassen? (sorry, hab echt keinen Plan von sowas...)

hatschi80

trojan-death 10.07.2008 17:28
Zitat:
Zitat von hatschi80 (Beitrag 352844)
Hab jetzt (hoffe, das hatte ich richtig verstanden?) nur vor die drei angegebenen Zeilen ein Häkchen gesetzt und die fixen lassen...

Soll ich die neue *.log posten? Oder sollte ich vor alle Zeilen des Scans ein Häkchen setzen und fixen lassen? (sorry, hab echt keinen Plan von sowas...)

hatschi80
Nur kurz einmisch...

Will nicht das hier was böse endet:daumenhoc
Auf keinen Fall bei allen Einträgen ein Häcken setzen:daumenhoc
Nur bei den die dir blow-in gesagt hast du sollst es tun, sprich:
Zitat:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing)
O20 - Winlogon Notify: wvUlihFX - wvUlihFX.dll (file missing)
nun zurück an blow-in:party:

hatschi80 10.07.2008 18:05
Dann hab ich das ja richtig verstanden und gemacht...

Das Problem besteht allerdings immer noch... Weiß ja nicht, bis zu welchen Stand eure Hilfen mich mittlerweile gebracht haben sollten, aber google sucht immer noch nicht... :( (Nicht falsch verstehen, das ist keine Motzerei, bloß völlige Planlosigkeit meinerseits *g*)

Hier noch mal die aktuelle HJT-log...

Danke übrigens für eure Hilfe... Bin echt völlig aufgeschmissen...

_____________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:37, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BMcf9d175a] Rundll32.exe "C:\WINDOWS\system32\duoqvfbw.dll",s
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6869 bytes

Sunny 10.07.2008 18:09
@hatschi



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

hatschi80 10.07.2008 19:00
Hi, hab jetzt sowohl CCleaner, als auch combofix drüberlaufen lassen. Die log füge ich unten ein...

Beim Starten von Combofix stand in dem blauen Fenster sowas wie "CScript-Fehler: Der Zugriff auf Windows Script Host wurde deaktiviert. Wenden sie sich an ihren Administrator."
(Das Kursive ist nur sinngemäß, danach scrollte die Anzeige weiter und ich sollte ja weder Maus noch Keyboard benutzen, während combofix läuft)

Hat das was zu bedeuten?

Und beim Hochfahren bekam ich ne Windows-Fehlermeldung:
"Fehler beim Laden von C:\WINDOWS\system32\duoqvfbw.dll. Das angegebene Modul wurde nicht gefunden."

Grund zur Besorgnis?


Hier nun die *.log von ComboFix :


ComboFix 08-07-09.5 - *** 2008-07-10 19:19:17.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\BadgQqru.ini
C:\WINDOWS\system32\BadgQqru.ini2
C:\WINDOWS\system32\btfunc.dll
C:\WINDOWS\system32\cJPrrBeg.ini
C:\WINDOWS\system32\cJPrrBeg.ini2
C:\WINDOWS\system32\duoqvfbw.dll
C:\WINDOWS\system32\lugejwqt.ini
C:\WINDOWS\system32\mcjekdtp.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sxdobaah.ini
C:\WINDOWS\system32\wddpajmy.ini
C:\WINDOWS\system32\ymjapddw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2021-01-21 21:28 . 2000-01-27 16:17 414,272 --a------ C:\WINDOWS\system32\DIVXc32f.dll
2021-01-21 21:28 . 2000-01-27 16:17 414,272 --a------ C:\WINDOWS\system32\DIVXc32.dll
2021-01-21 21:28 . 2000-01-27 02:11 240,400 --a--c--- C:\WINDOWS\system32\DIVX_c32.ax
2008-07-09 21:35 . 2008-07-09 21:35 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-09 21:35 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-07-09 17:47 . 2008-07-09 17:47 <DIR> d-------- C:\Programme\Trend Micro
2008-07-07 00:06 . 2008-07-07 00:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SprillBermudeEng
2008-07-06 23:55 . 2008-07-07 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2008-07-06 21:20 . 2008-07-07 18:16 <DIR> d-------- C:\Programme\BSW
2008-06-30 16:44 . 2008-07-10 19:16 110,474 --a------ C:\WINDOWS\BMcf9d175a.xml
2008-06-28 21:54 . 2007-02-05 21:51 437,174 --a------ C:\jv-rudei80t.png
2008-06-28 10:08 . 2008-06-28 10:08 <DIR> d-------- C:\Programme\CyberLink
2008-06-28 10:08 . 2008-06-28 10:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-06-25 17:11 . 1996-10-15 17:01 298,496 --a------ C:\WINDOWS\uninst.exe
2008-06-22 18:35 . 2008-06-22 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-06-22 11:19 . 2008-06-28 10:12 <DIR> d-------- C:\Downloads
2008-06-19 18:00 . 2008-06-19 18:00 <DIR> d-------- C:\Programme\QuickTime
2008-06-19 18:00 . 2008-06-19 18:01 <DIR> d-------- C:\Programme\DVD Ripper Platinum 4
2008-06-19 17:54 . 2008-07-09 18:18 <DIR> d-------- C:\Programme\Gabest
2008-06-19 17:25 . 2008-06-19 17:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVS4YOU
2008-06-19 17:25 . 2008-06-19 17:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-06-19 17:24 . 2008-06-19 17:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-06-19 17:23 . 2007-02-27 19:36 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-06-19 17:23 . 2007-02-27 19:36 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-06-19 17:23 . 2007-02-27 19:36 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-06-16 18:05 . 2008-06-22 18:35 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-16 18:05 . 2008-06-16 18:05 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-10 22:01 . 2008-06-10 22:01 <DIR> d-------- C:\Programme\7-Zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 19:39 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-09 16:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\FRITZ!
2008-07-07 10:32 --------- d-----w C:\Programme\Zylom Games
2008-07-02 12:47 --------- d-----w C:\Programme\Realtek AC97
2008-06-28 08:08 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-19 16:04 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-06-15 07:13 --------- d-----w C:\Programme\audiograbber
2008-06-14 00:18 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent
2008-06-13 14:43 --------- d-----w C:\Programme\Free FLV Converter
2008-06-09 14:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Reinhold-IT
2008-06-09 14:04 --------- d---a-w C:\Programme\ZeugnisGrundschule
2008-06-08 17:40 --------- d-----w C:\Programme\ProtectDisc Driver Installer
2008-06-04 08:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-27 04:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-27 04:33 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-24 09:36 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\XnView
2008-05-17 13:46 2,073,600 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-05-17 13:18 --------- d-----w C:\Programme\MSBuild
2008-05-17 13:17 --------- d-----w C:\Programme\Reference Assemblies
2007-12-31 12:14 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-11-05 11:58 278,528 ----a-w C:\Programme\xp-AntiSpy.exe
2000-01-01 00:00 23 --sha-r C:\WINDOWS\mtlid64s2.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2006-12-07 16:11 204843]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-31 08:35 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"NeroFilterCheck"=C:\WINDOWS\System32\NeroCheck.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"SoundMan"=SOUNDMAN.EXE
"nwiz"=nwiz.exe /install
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
"SetDefPrt"=C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
"IndexSearch"=C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 11:14]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
S3 FXDRV;FXDRV;D:\Fxdrv.sys []
S3 oflpydin;oflpydin;C:\DOKUME~1\***\LOKALE~1\Temp\oflpydin.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-09 21:35]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-10 17:29:48 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-BMcf9d175a - C:\WINDOWS\system32\duoqvfbw.dll
Notify-WgaLogon - (no file)
MSConfigStartUp-AlcoholAutomount - C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-07-10 19:30:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-10 19:39:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 17:38:08

28 Verzeichnis(se), 25,426,239,488 Bytes frei
30 Verzeichnis(se), 25,338,802,176 Bytes frei

175 --- E O F --- 2008-04-13 13:11:08

Sunny 10.07.2008 19:09
So weit, so gut.. ;)

Hattest du mal Zonealarm installiert?

nun folgendes:



SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:




Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

hatschi80 10.07.2008 19:12
Ja, hab ZoneAlarm noch drauf... nicht gut?

Nehme den Rest deiner Vorschläge jetzt in Angriff... *drücke mir selbst die Daumen* :D


Ähhhh... wie mach ich das mit dem abgesicherten Modus?

Dankbare Grüße
hatschi80

Sunny 10.07.2008 19:24
Rechner neu starten -> vor dem XP-Logo die Taste F8 drücken -> abgesicherter Modus wählen. ;)

hatschi80 10.07.2008 21:08
Mann mann mann, das hat mich aber jetzt Nerven gekostet... SDFix ließ sich zwar problemlos starten und lief auch ohne Mucken durch, aber dann fuhr der PC nimmer runter... Im Taskmanager hieß es, dass die Restart-Datei keine Rückmeldung gebe... Na ja, hab den PC nach dem dritten Versuch dann manuell neugestartet, ohne den Task vorher zu beenden, dann ging's *g*

Malwarebytes läuft, hierschon mal der SDFix-Report :
_____________________



SDFix: Version 1.204
Run by *** on 10.07.2008 at 20:54

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\***\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-07-10 21:07:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:ce,92,87,25,9a,61,ff,96,a2,af,8b,5a,c7,4d,a9,16,79,92,96,18,f3,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:97,a4,98,8b,6a,18,b9,17,15,76,24,81,de,03,5e,1e,c9,36,a3,57,43,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000065
"TracesSuccessful"=dword:00000005

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"="C:\\Programme\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :



Files with Hidden Attributes :

Tue 18 Nov 1997 5,950,976 ...H. --- "C:\Corel\Graphics8\Programs\CNSFlt80.dll"
Tue 3 Oct 2006 50,280 A..H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Tue 25 Dec 2007 42,496 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL0270.tmp"
Tue 25 Dec 2007 181,760 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL0979.tmp"
Tue 25 Dec 2007 347,136 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL1630.tmp"
Tue 25 Dec 2007 20,992 ...H. --- "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Word\~WRL2371.tmp"

Finished!

hatschi80 10.07.2008 21:17
Hier nun der Malwarebytes-Report

Windows 5.1.2600 Service Pack 2

22:12:31 10.07.2008
mbam-log-7-10-2008 (22-12-31).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 175977
Scan Dauer: 51 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{EAE7EC81-484D-4E6D-8BA4-25397DB75780}\RP56\A0027296.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMcf9d175a.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMcf9d175a.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


________________________

Status-Bericht: Google funktioniert wieder!!!!!! *freu*

Muss ich jetzt noch irgendwas beachten, bzw. veranlassen? Z.B. irgendeins der Programme sicherheitshalber noch mal laufen lassen oder so? Und was war mit der Frage nach ZoneAlarm?

Liebe Grüße und vielen vielen Dank
hatschi80

blow-in 11.07.2008 09:17
Liste der Anhänge anzeigen (Anzahl: 1)
So mal wieder einklink
Wie du beschrieben hast, ist dein Problem behoben.
Noch ein paar kurze Scans und Deaktivierung der Systemwiederherstellung, dann müssten wir fertig sein.
Als erstes die Systemwiederherstellung wie in dem Bild. Start, Systensteuerung.
Dann noch den CCleaner nach Anleitung ausführen, dabei die Registry mehrmals nach Fehlern suchen lasen, bis nichts mehr gefunden wird.
Zum Schluss dann noch ein Hijackthis Log.
Ich werde über das Wochenende wohl nicht mehr im Board sein.

hatschi80 11.07.2008 10:03
Also CCleaner findet nix mehr...

hier mein hoffentlich letztes HJT-log :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:26, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\Sitecom\IVT BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6498 bytes

blow-in 11.07.2008 10:41
Na dann
Dein HJT-Log ist soweit sauber. Es fehlen lediglich noch ein paar Updates. SP3 kannst du installieren. IExplore kannst du auch auf v7.0 patchen auch wenn du ihn nicht nutzt, ist aber für die Updates zu verwenden.
Dein Java ist auch nicht auf dem neuesten Stand. Deistalliere den alten und gehe dann auf Java Sun und hole dir den Neuesten.
Meine Meinung zum Zone Alarm ist auch nicht die Beste.
Du solltest ihn deaktivieren und nach dem Update von Windows, die Windowseigene Firewall nutzen.
Ansonsten eine Virenfreie Zukunft.

hatschi80 11.07.2008 10:46
Super!

Vielen Dank für deine Hilfe!!!


beruhigte Grüße
hatschi80

Stefano87 01.08.2008 11:05
Hab genau das gleiche problem

Kann mir jemand weiterhelfen - kenne mich garnicht mit den ganzen Sachen aus

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:12, on 01.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\PTBSync\PTBSync.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\nvsvc32.exe
C:\Dokumente und Einstellungen\Stefano\Desktop\Miranda ME RC3\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.warofgalaxy.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {BFE9BFDC-7370-49C5-A93C-8ADBF6261BF5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: T-Online (2).lnk = ?
O4 - Startup: T-Online.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe

--
End of file - 6872 bytes

Silent sharK 01.08.2008 11:23
Hallo Stefano87,
bitte eröffne für dein Problem einen eigenen Thread, sonst gibt es nur Unübersichtlichkeiten. :)

mfg

Stefano87 01.08.2008 11:32
CCleaner hab ich wie schon beschrieben ausgeführt

und SDFix hab ich im Abgesicherten Modus laufen lassen

SDFix: Version 1.211
Run by Stefano on 01.08.2008 at 12:23

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\PROGRA~1\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\nvrsul32.dll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 12:27:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\CLSID]
"\30 A?E?2?A?E?D?8?F?-?5?6?9?5?-?4?a?6?d?-?9?7?0?9?-?1?4?E?5?1?C?D?1?7?B?1?C?'?"=""

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\Miranda ME 2.0 RC2\\miranda32.exe"="C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\Miranda ME 2.0 RC2\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\Miranda ME RC3\\miranda32.exe"="C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\Miranda ME RC3\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Programme\\Steam\\steamapps\\id0143\\counter-strike source\\hl2.exe"="C:\\Programme\\Steam\\steamapps\\id0143\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Gamers.IRC\\mirc.exe"="C:\\Programme\\Gamers.IRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\SightSpeed\\SightSpeed.exe"="C:\\Programme\\SightSpeed\\SightSpeed.exe:*:Enabled:SightSpeed"
"C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\miranda32.exe"="C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\Neuer Ordner (2)\\miranda32.exe"="C:\\Dokumente und Einstellungen\\Stefano\\Desktop\\Neuer Ordner (2)\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Steam\\steamapps\\id0143\\source sdk base\\hl2.exe"="C:\\Programme\\Steam\\steamapps\\id0143\\source sdk base\\hl2.exe:*:Enabled:hl2"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\PROGRA~1\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"

Finished!

Silent sharK 01.08.2008 11:36
Willst du denn nicht hören? :kloppen:

Stefano87 01.08.2008 11:37
Ok mach ich sofort - hatte deinen post nicht gelesen

Dachte weil in den regeln stand bitte erst die Sufu benutzen dass ich in dem bereich weiter fragen soll - danke für den Hinweis


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55