Trojaner-Board - Problem Mit dem IE7

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem Mit dem IE7 (https://www.trojaner-board.de/59771-problem-ie7.html)

Problem Mit dem IE7

Also Hallo und entschuldigung erstmal,
Ich habe mich mit meinem Problem schon durch mehrere Boards gearbeitet, allerdings hab ich nirgendwo etwas nützliches gefunden, also melde ich mich mal in einem an, und hoffe direkt ein gutes erwischt zu haben ;D

Also, wenn ich meinen PC hochfahre kommt das Problem, das er arschlahm wird, sobald mein Internet aktiv ist (gehe über WLAN).
Aus spass an der Freud hab ich vor kurzem mal den Task-Manager geöffnet und gesehen, das der Iexplorer.exe mit 2 prozessen am laufen war, wobei ich diesen nicht ausgeführt hatte.
Der eine iexplorer.exe läuft relativ klein, also mit nur rund 10.000kb Speicherauslastung, der andere jedoch mit meist bis zu 140.000kb...:snyper:
Naja ich habe den Prozess auf jeden Fall manuell beendet, dann wurde sofort ein neuer Aktiv der LISTON~1.exe heisst oder STORER~1.exe , zwischen den beiden wechselt es eigentlich immer.

Dies tut er aber nur einmal, somit ich den Prozess nochmal abbrechen muss, dann bleibt er aber auch weg (nach einiger Zeit baut er sich aber wieder auf).
dann bin ich mal auf die Idee gekommen nach den Dateien STORER~1.exe und LISTON~1.exe zu suchen, und habe sie auch gefunden, nämlich unter "C:\WINDOWS\Prefetch" , diese beiden manuell gelöscht und siehe da, nachdem ich den Prozess wieder beendet hatte, baute sich kein neuer mehr auf.

Ich hab gedacht alles in allem ganz gut gelaufen, musste jedoch feststellen das es das wohl nicht gewesen sein soll, da nach einem neustart den Computers derselbe fehler vorlag, auch wieder mit LISTON~1.exe und der anderen, also kann ich löschen so oft ich will, tauchen immer neu auf:teufel1:...mein Avira zeigt mir auch nichts an wenn ich es überprüfen lasse...Hilfe?
Wäre dankbar für jede Hilfe die ich bekommen kann (wenn nötig, erstelle ich ein HiJackThisLog)

Danke im Vorraus

Hi,

der prefetch-Ordner ist ein Ordner in dem Windows Informationen zu ausgeführten Dateien sammelt. Du hast also nicht die Datei selber, sondern nur Informationen zu der Datei gelöscht. :)

Die Dateien selbst sind wahrscheinlich versteckt.
Erstell daher bitte erstmal ein Hijackthis log. :)

lg myrtille

Da bitteschön ;D und das mit dem prefetch ordner: so ein dreck ;D;D;D

Na sowas, da sind die Dateien nicht zu sehen. :D

Da brauchts wohl etwas ausführlichere Infos:
Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lang sind, dann häng sie bitte einfach an)

lg myrtille

uupppssss, sorry ;D...naja ich denk mal ich hänge besser an, denn sie sind in der tat etwas groß ^^
musste allerdings die log.txt in 2 trennen, da sie zu groß war ;D

Hi,

die Dateien die du gesehen hast gehören mit Swizzor, das ist ein "SponsorprogramM" von Messenger Plus. Hast du da über MSConfig etwas deaktiviert? Oder sonstwie verändert? Hat Antivir/Spyware Doctor in letzter Zeit etwas gefunden und bereinigt?

es sind noch Reste von verschiedenen Infektionen übrig.
Mach bitte einen Scan mit Malwarebytes und lass alle Funde löschen. :)

lg myrtille

SpywareDoc erst seit gerade drauf bzw. kurz vor dem Posting meiner logs ;D der mist dabei ist, er hat etwas gefunden, kann dies allerdings nicht löschen bzw. desinfizieren da ich mich dazu lizensieren lassen muss und das kostet $.$ deswegen wäre es super wenn du ein anti-spyware für nüchts hast :D d.h. kostenlos zur verfügung gestellt wird.
Und nein ich habe weder etwas deaktiviert oder verändert, wäre ja schön blöd da irgendwo rumzufuchteln wo ich keine ahnung von hab und wo mir keiner zur seite steht und mir sagt: "lass es besser" ;D
Komisch dabei find ich dann doch aber das die beiden prozesse nur auftauchen wenn ich den iexplorer.exe deaktiviere und das dieser überhaupt eine so hohe belastung darstellt, wenn es dich doch nur um ein sponsorenprog. handelt, wie man es beispielsweise von google kennt!

Hi,

das "Sponsorenprogramm" stand schon aus gutem Grund in Anführungszeichen. :D Das ist reine Adware, sprich sorgt für lustige Werbe-Popups wenn du im Netz bist, weswegen ich empfehlen würde Abstand von Messenger Plus zu nehmen. ;)

Kostenlose Antispywareprogramme sind zum Beispiel Malwarebytes und SuperAntiSpyware Beide bieten auch eine kostenpflichtige Version an, aber die kostenlosen Versionen sind ausreichend und in der Lage alles zu löschen. :)
(Weswegen ich von Malwarebytes gern das Log sehen möchte. ;) )

lg myrtille

Also hab MalwareBytes mal drüberlaufen lassen hatte dann aber nach über einer std. :O keine lust mehr zu warten und hab erst mal gestoppt...16 funde, hier erst mal der bericht...
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1142
Windows 5.1.2600 Service Pack 2

12.09.2008 19:40:40
mbam-log-2008-09-12 (19-40-40).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 36092
Laufzeit: 1 hour(s), 5 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Schatzy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für WinRAR.v3.70.GERMAN.Incl.Keymaker.And.Patch-CORE.zip\WinRAR.v3.70.GERMAN.Incl.Keymaker.And.Patch-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Werde allerdings morgen nochmal komplett drüber laufen lassen und neu posten, hoffe damit ist dann evtl. das problem behoben...

P.S.: Überall dieses MyWebSearch...und irgendwie kommt es mir sogar bekannt vor (nachdenk) aber ich weiss leider nicht mehr woher ;D

Und nochwas, wolltest du ihn nur aus reiner interesse sehen? ;D kleiner spezi ne :P

Hi,

quickscan reicht vollkommen aus. Ich hatte eigentlich die (nicht unberechtigte) Hoffnung, das Malwarebytes schonmal das gröbste aufräumt. :D

lg myrtille

Also hier der vollständige Scan-Log:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1142
Windows 5.1.2600 Service Pack 2

13.09.2008 15:19:06
mbam-log-2008-09-13 (15-19-06).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 86715
Laufzeit: 1 hour(s), 16 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{B4FAEFC1-6764-4BD7-9021-970AD7B5F194}\RP41\A0006389.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe71df08e.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe71df08e.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

Allerdings besteht das Problem weiterhin =( Hast du evtl. noch eine idee?

Auch wenn das Problem weiterhin besteht: Wir haben doch schon ne Menge ausm System rausgeholt. ;)
Mach bitte hiermit weiter:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

und

ein FileListing mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

EDIT: Link von muratgeg NICHT anklicken! Beiträge sind gemeldet und sollte gelöscht werden.

Ein kleines problem mit dem zweiten schritt...er lädt mir nichts runter sondern öffnet in meinem browser immer nur eine liste (natürlich versteh ich sie nicht ;D) und die ist auch nicht zu lang um hier zu posten, da sie kürzer ist als jedes HiJackThis log was ich je gesehen hab o.o also das einfach zu dem anderen hinzukopieren?

Hi,

nein, bitte die Seite per Rechtsklick und "Speichern unter" abspeichern (es sollte den namen listing8.cmd vorschlagen) und dann wie in der Anleitung weiter vorgehen. :)

lg myrtille

Hier erstmal von Navilog:

Search Navipromo version 3.6.5 began on 13.09.2008 at 17:17:54,88

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Schatzy"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Schatzy\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Schatzy\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" *

Files found :

ognvw.exe found !

*** Search files ***

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !
HKEY_CURRENT_USER\Software\mc found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

C:\WINDOWS\system32\EgiPVvut.ini2 found ! Possible Vundo infection, not cleaned with this tool !

*** Search completed on 13.09.2008 at 17:28:16,39 ***

Und das vom Script (ich poste es einfach mal):

echo LISTING FILE von root24; 28.01.2008 > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt

Weitere Schritte? :uglyhammer:

Hi,

ja besagtes skript bitte in einem Texteditor kopieren und unter listing.cmd speichern (darauf achten, dass unter Dateityp "alle Dateien" angewählt sind) und ausführen. danach sollte ein datei listing.txt auf deinem Desktop erscheinen, deren inhalt bitte posten.

lg myrtille

Ah ok, werd ich^^ hatte es erst falsch verstanden, deshalb entschuldigung...allerdings ist das erste posting von Navilog ja korreckt, oder?

http://www.file-upload.net/download-1109678/listing.txt.html

Da, ich hoffe jetzt stimmt es ;D

Hi,

du hast von allem noch ein bischen übrig, kann das sein? :D

Navilog war korrekt und ist auch fündig geworden! :)
Daher bei Navilog bitte hiermit weitermachen:

Rufe das Programm bitte erneut auf und wähle die Option 2
Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Und noch ein Tool:
Deaktivier bitte dein Antivirenprogramm während des Scans

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Suppr um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

lg myrtille

Also Navilog ausgeführt ohne weitere Probleme, bericht ist unten angehangen, allerdings gab es bei dem anderen Tool 2x dieselbe fehlermeldung, einmal beim auswählen der Sprache, einmal beim auswählen der auszuführenden Option (siehe .jpg datei im Anhang)
Bericht wird trotzdem beigefügt.

Hi,

um die Fehlermeldung zu beheben, führe bitte die angehängte Datei aus. :)

Erstellst du bitte nochmal ein Hijackthislog, ich möchte etwas überprüfen. :)

lg myrtille

EDIT: In solchen Fällen ist es auch ratsam dran zu denken, die entpsrechenden Dateien anzuhängen. :balla:

Zitat:

Zitat von myrtille (Beitrag 372705)

Hi,

um die Fehlermeldung zu beheben, führe bitte die angehängte Datei aus. :)

Welche angehängte Datei? da ist doch garnichts :D
HiJackThis Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:57, on 13.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Opera\opera.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w**.google.de/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]h**p://*go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://*go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://*go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://*go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://*go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.509.5470\swg.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [exitdart] C:\DOKUME~1\Schatzy\ANWEND~1\ONEAME~1\Store remote.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.***/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.***/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.***/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

--
End of file - 5855 bytes

Wieder einmal etwas klein o.o am anfang waren die IMMER größer o.o:eek:

EDIT: Anhang jetzt aufgetaucht ;D;D;D wurde bereits ausgeführt, und nun? Nochmal per Tool scannen oder wie?

Natürlich ist da was! Siehst du sie nicht? :D

Führe die (im letzten Post angehängte) Datei zuerst aus.

Starte dann LOP S&D und wähle diesmal die Option 3.

Tue nichts am Rechner während das Programm läuft und poste anschließend den Bericht von LOP S&D.

lg myrtille

EDIT: Deaktiviere bitte die Links in deinem vorhergehendem Post. :)

Hi,

Hier erst einmal die liste:

--------------------\\ Lop S&D 4.2.4-2 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel Pentium III-Prozessor )
BIOS : Version 1.00
USER : Schatzy ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Not Activated)

"C:\Lop SD" ( MAJ : 08-09-2008|21:40 )
Option : [3] ( 13.09.2008|20:15 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX

Geloescht ! - C:\DOKUME~1\ALLUSE~1\ANWEND~1\Memo save stupid creative\List Online.exe
Geloescht ! - C:\DOKUME~1\Schatzy\ANWEND~1\oneame~1\rdr keep mode.exe
Geloescht ! - C:\DOKUME~1\Schatzy\ANWEND~1\oneame~1\Size Web Less Army.exe
Geloescht ! - C:\DOKUME~1\Schatzy\ANWEND~1\oneame~1\Store remote.exe
Geloescht ! - C:\DOKUME~1\Schatzy\ANWEND~1\oneame~1\uhnbkika.exe
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@advertising[2].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@bigpoint[1].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@de.gladiatoren2.bigpoint[1].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@adopt.euroclick[1].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@partygaming.122.2o7[1].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@partypoker[1].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@router.partypoker[1].txt
Geloescht ! - C:\DOKUME~1\Schatzy\Cookies\schatzy@router.partypoker[2].txt
Geloescht ! - C:\WINDOWS\Tasks\B45906359FA6B7B5.job
Geloescht ! - C:\DOKUME~1\ALLUSE~1\ANWEND~1\Memo save stupid creative
Geloescht ! - C:\DOKUME~1\Schatzy\ANWEND~1\oneame~1

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[17.06.2008|16:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[09.07.2008|15:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[02.09.2008|22:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[02.05.2008|02:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Grisoft
[21.07.2008|17:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Installations
[04.07.2008|11:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
[08.03.2008|23:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
[12.09.2008|18:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[05.03.2008|23:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[21.07.2008|17:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[02.05.2008|00:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NCH Software
[19.04.2008|02:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NCH Swift Sound
[21.07.2008|19:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nokia
[21.07.2008|17:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PC Suite
[13.09.2008|02:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\pixelStorm
[12.09.2008|18:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[31.07.2008|17:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WEB.DE
[05.03.2008|20:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[29.03.2008|07:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[02.04.2008|12:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo!
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[22|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[05.03.2008|20:00] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[06.03.2008|16:03] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[05.03.2008|20:05] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[02.05.2008|03:01] C:\DOKUME~1\Schatzy\ANWEND~1\AD ON Multimedia
[17.06.2008|16:05] C:\DOKUME~1\Schatzy\ANWEND~1\Adobe
[09.07.2008|14:57] C:\DOKUME~1\Schatzy\ANWEND~1\Ahead
[26.04.2008|20:41] C:\DOKUME~1\Schatzy\ANWEND~1\Apple Computer
[12.07.2008|18:36] C:\DOKUME~1\Schatzy\ANWEND~1\DAEMON Tools
[09.03.2008|00:27] C:\DOKUME~1\Schatzy\ANWEND~1\DivX
[21.07.2008|18:45] C:\DOKUME~1\Schatzy\ANWEND~1\fltk.org
[04.07.2008|18:34] C:\DOKUME~1\Schatzy\ANWEND~1\FunWebProducts
[13.06.2008|22:40] C:\DOKUME~1\Schatzy\ANWEND~1\Google
[09.07.2008|13:00] C:\DOKUME~1\Schatzy\ANWEND~1\ICQ
[05.03.2008|21:16] C:\DOKUME~1\Schatzy\ANWEND~1\ICQLite
[05.03.2008|20:24] C:\DOKUME~1\Schatzy\ANWEND~1\Identities
[07.03.2008|22:16] C:\DOKUME~1\Schatzy\ANWEND~1\IGN_DLM
[06.03.2008|20:10] C:\DOKUME~1\Schatzy\ANWEND~1\InstallShield
[21.06.2008|20:42] C:\DOKUME~1\Schatzy\ANWEND~1\LimeWire
[05.03.2008|21:09] C:\DOKUME~1\Schatzy\ANWEND~1\Macromedia
[12.09.2008|18:18] C:\DOKUME~1\Schatzy\ANWEND~1\Malwarebytes
[29.07.2008|19:19] C:\DOKUME~1\Schatzy\ANWEND~1\Microsoft
[02.05.2008|23:39] C:\DOKUME~1\Schatzy\ANWEND~1\Miranda
[06.09.2008|12:44] C:\DOKUME~1\Schatzy\ANWEND~1\Mozilla
[19.04.2008|02:15] C:\DOKUME~1\Schatzy\ANWEND~1\NCH Software
[19.04.2008|02:25] C:\DOKUME~1\Schatzy\ANWEND~1\NCH Swift Sound
[21.07.2008|17:44] C:\DOKUME~1\Schatzy\ANWEND~1\Nokia
[01.09.2008|21:52] C:\DOKUME~1\Schatzy\ANWEND~1\OpenOffice.org2
[22.07.2008|15:57] C:\DOKUME~1\Schatzy\ANWEND~1\Opera
[21.07.2008|17:44] C:\DOKUME~1\Schatzy\ANWEND~1\PC Suite
[13.07.2008|14:47] C:\DOKUME~1\Schatzy\ANWEND~1\Real
[19.04.2008|02:25] C:\DOKUME~1\Schatzy\ANWEND~1\Recordpad
[05.03.2008|21:02] C:\DOKUME~1\Schatzy\ANWEND~1\SecuROM
[16.05.2008|19:15] C:\DOKUME~1\Schatzy\ANWEND~1\Shareaza
[06.03.2008|17:32] C:\DOKUME~1\Schatzy\ANWEND~1\Sun
[02.08.2008|01:39] C:\DOKUME~1\Schatzy\ANWEND~1\TuneUp Software
[29.08.2008|20:52] C:\DOKUME~1\Schatzy\ANWEND~1\uTorrent
[22.07.2008|18:21] C:\DOKUME~1\Schatzy\ANWEND~1\vlc
[31.07.2008|17:24] C:\DOKUME~1\Schatzy\ANWEND~1\WEB.DE
[07.03.2008|14:31] C:\DOKUME~1\Schatzy\ANWEND~1\WinRAR
[02.04.2008|12:19] C:\DOKUME~1\Schatzy\ANWEND~1\Yahoo!
[0|Datei(en)] C:\DOKUME~1\Schatzy\ANWEND~1\Bytes
[39|Verzeichnis(se),] C:\DOKUME~1\Schatzy\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[13.09.2008 19:06][--a------] C:\WINDOWS\tasks\GoogleUpdateTaskUser.job
[13.09.2008 19:33][--ah-----] C:\WINDOWS\tasks\SA.DAT
[04.08.2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[14.07.2008|17:01] C:\Programme\Adobe
[09.07.2008|14:17] C:\Programme\AntiTwin
[09.07.2008|15:23] C:\Programme\Avira
[05.03.2008|19:54] C:\Programme\ComPlus Applications
[21.07.2008|17:39] C:\Programme\DIFX
[06.03.2008|00:17] C:\Programme\directx
[09.06.2008|20:02] C:\Programme\DVDVideoSoft
[05.06.2008|21:59] C:\Programme\FolderAccess
[30.08.2008|18:54] C:\Programme\Gemeinsame Dateien
[02.09.2008|22:38] C:\Programme\Google
[02.05.2008|02:21] C:\Programme\Grisoft
[30.08.2008|17:21] C:\Programme\InstallShield Installation Information
[05.09.2008|23:35] C:\Programme\Internet Explorer
[30.08.2008|17:17] C:\Programme\Java
[12.09.2008|18:19] C:\Programme\Malwarebytes' Anti-Malware
[05.09.2008|23:37] C:\Programme\Messenger
[30.08.2008|12:11] C:\Programme\Messenger Plus! Live
[03.05.2008|18:08] C:\Programme\Movie Maker
[12.09.2008|22:26] C:\Programme\Mozilla Firefox
[05.03.2008|19:52] C:\Programme\MSN
[05.03.2008|19:53] C:\Programme\MSN Gaming Zone
[08.03.2008|22:16] C:\Programme\MSN Messenger
[08.03.2008|17:04] C:\Programme\MSXML 4.0
[08.03.2008|17:18] C:\Programme\MSXML 6.0
[13.09.2008|19:35] C:\Programme\Navilog1
[03.05.2008|18:08] C:\Programme\NetMeeting
[05.03.2008|19:54] C:\Programme\Online Services
[05.03.2008|19:57] C:\Programme\Online-Dienste
[25.07.2008|19:37] C:\Programme\OpenOffice.org 2.4
[12.09.2008|20:51] C:\Programme\Opera
[03.05.2008|18:08] C:\Programme\Outlook Express
[01.09.2008|22:22] C:\Programme\PhotoFiltre
[12.09.2008|18:09] C:\Programme\Project64 1.6
[05.03.2008|21:06] C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility
[02.05.2008|01:20] C:\Programme\RegCleaner
[05.08.2008|19:15] C:\Programme\SpeedFan
[30.07.2008|14:27] C:\Programme\Trend Micro
[10.05.2008|19:00] C:\Programme\Trust
[05.03.2008|20:15] C:\Programme\Uninstall Information
[30.05.2008|17:00] C:\Programme\uTorrent
[22.07.2008|16:38] C:\Programme\VideoLAN
[31.07.2008|17:23] C:\Programme\WEB.DE
[04.07.2008|11:27] C:\Programme\Windows Live
[03.05.2008|18:08] C:\Programme\Windows Media Player
[03.05.2008|18:08] C:\Programme\Windows NT
[05.03.2008|19:57] C:\Programme\WindowsUpdate
[07.03.2008|14:31] C:\Programme\WinRAR
[12.04.2008|14:52] C:\Programme\Yahoo!
[0|Datei(en)] C:\Programme\Bytes
[50|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[17.06.2008|16:03] C:\Programme\Gemeinsame Dateien\Adobe
[23.07.2008|13:57] C:\Programme\Gemeinsame Dateien\Ahead
[05.03.2008|19:56] C:\Programme\Gemeinsame Dateien\Dienste
[30.08.2008|18:54] C:\Programme\Gemeinsame Dateien\DirectX
[06.03.2008|00:28] C:\Programme\Gemeinsame Dateien\InstallShield
[06.03.2008|17:28] C:\Programme\Gemeinsame Dateien\Java
[30.08.2008|17:23] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[05.03.2008|19:56] C:\Programme\Gemeinsame Dateien\MSSoap
[05.03.2008|19:46] C:\Programme\Gemeinsame Dateien\ODBC
[10.05.2008|19:00] C:\Programme\Gemeinsame Dateien\PAC207
[13.07.2008|14:47] C:\Programme\Gemeinsame Dateien\Real
[05.03.2008|19:46] C:\Programme\Gemeinsame Dateien\SpeechEngines
[03.05.2008|18:08] C:\Programme\Gemeinsame Dateien\System
[05.03.2008|22:37] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[16|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 33 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 20:17:50
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 1537

--------------------\\ Suche nach anderen Infektionen

C:\WINDOWS\system32\EgiPVvut.ini
C:\WINDOWS\system32\EgiPVvut.ini2
==> VUNDO <==

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Schatzy\Cookies\schatzy@crackserialkeygen[1].txt

[F:330][D:9]-> C:\DOKUME~1\Schatzy\LOKALE~1\Temp
[F:412][D:0]-> C:\DOKUME~1\Schatzy\Cookies
[F:1133][D:10]-> C:\DOKUME~1\Schatzy\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 13.09.2008|19:43 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 13.09.2008|20:20 - Option : [3]

--------------------\\ Scan beendet um 20:20:24

Da hab ich dann evtl. nochmal eine Frage...mir wurde mal ein RemovalTool für Norton empfohlen, da sich nNorton ja so tief im System reinfrisst das es schier unmöglich scheint es komplett runterzubekommen...aber gibt es das auch für Kaspersky? Hatte es mal drauf, wurde mir dann aber (natürlich erst zu spät ;) ) von abgeraten... ansonsten lief alles ohne Probleme, nun?

Das sieht gut aus.

Deinstalliere bitte Navilog unter Start->Systemsteuerung->Software.

Lop S&D kannst du auch wieder löschen.

Eine Anleitung für Kaspersky lässt sich hier.

Poste bitte noch ein neues Hijackthislog.

lg myrtille

Hier, HiJackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:08, on 13.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = =h**p://www.google.de/]Google[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = =h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = =h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = =h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = =h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005]Customize Your Settings[/url]
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.509.5470\swg.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab[/url]
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - h**p://messenger.zone.msn.com/binary/ZIntro.cab56649.cab[/url]
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.com/binary/Bankshot.cab57213.cab[/url]
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab[/url]
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

--
End of file - 5898 bytes

Inwiefern sieht gut aus?
Problem hat sich geändert, und zwar insofern das nur noch ein iexplorer aufgebaut wird...leider der größere =(

Erstell bitte nochmal ein Logfile mit der listing8.cmd und verlinke es hier.

Aktualisiere bitte auch Malwarebytes und erstelle ein neues Log und poste es hier.

Wieviele Accounts sind auf dem Rechner eingerichtet?

lg myrtille

Also hier nochmal das listing (File-Upload.net - listing.txt) malewarebytes wird gerade aktualisiert und zu dem Konto, habe nur eins angelegt, dieses auch von Anfang an. Hatte auch niemals ein zweites...

Hier nach der Aktualisierung von Malewarebytes:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1145
Windows 5.1.2600 Service Pack 2

13.09.2008 21:34:57
mbam-log-2008-09-13 (21-34-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 31291
Laufzeit: 5 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nochmal um das ganze anzurunden erstelle ich eine HiJackThis Logdatei. Im moment ist mein PC ganz brav und er läuft schneller als gewohnt ;) also muss ich dir wohl mal ein ganz dickes danke zukommen lassen *abknutsch* ;D;D;D Ich hab auch das gefühl das mein Opera-Browser die seiten schneller lädt und das auch Videos schneller gepuffert werden.
Alles in allem echt eine große Hilfe und nicht einmal ungeduldig geworden ;)

Danke Danke
Ich weiss schon wo ich mich nächstes mal mit meinen Problemen melde, nämlich genau Hier: Trojaner-Board - powered by Trojaner-Board

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:51:47, on 13.09.2008

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke. :)
Sunny
[/edit]

P.S.: Nach einem Neustart morgen früh werde ich ja sehen ob das Problem auch zukünftig behoben ist, falls nicht melde ich mich nochmals...und von messenger plus! lass ich erst mal die finger weg =//

Nochmal eben editiert wegen einer Frage: Weisst du zufälligerweise wobei es sich um die Datei ctfmon.exe handelt? auch der prozess wird ausgeführt und ich trau mich nicht den zu beenden...vll. gibt mein pc ja dann den geist auf ♥ :D den rest kann ich mir ja erklären!

Hi,

Hier gibt es Erklärungen zur ctfmon: Link

Die Datei wird nur auf weniger Rechnern gebraucht, etwa wenn verschiedene Sprachschemata für Office verwendet werden.

Beobachte das Ganze in nächster Zeit mal und melde dich falls nochmal Probleme auftreten. :)

lg myrtille

Ah super hatte mir dann doch mal sofort das Remover Tool runtergeladen, da ich es damit ja jederzeit auch wieder aktivieren kann =) Ansonsten funzt hier alles wieder echt super :P Echt respekt und danke, klasse arbeit^^

Na dann wünsch ich noch nen schönes Rest Wochenende und hoffe, dass du hier so bald nicht wieder vorbeikommen musst. :D

Wenn du vorbeikommen willst, bist du natürlich jederzeit gern gesehen. :)

lg myrtille