Trojaner-Board - Problem mit Programmen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Problem mit Programmen (https://www.trojaner-board.de/60734-problem-programmen.html)

Problem mit Programmen

Hallo,

Ich habe zeit ein paar Tage ein paar probleme...

Folgendes:
Ich kann seit 3-4 keine Programme mehr Starten, die nach diesen 3-4 Tagen installiert wurden. Dachte zuerst das z.b. die Spiele kaputt seien, aber auf einem anderen Rechner laufen die alle einwandfrei.
Nun hab ich Antivir scannen lassen und den "TR/CRYPT.XPACK.GEN" gefunden. Leider kann dieser nicht gelöscht werden, da er immer wieder kommt. In der MSCONFIG habe ich mal nachgeguckt, beim Startup. Da stehen ein paar komische programme mit z.b. "afehjxs.." etc. drinnen. Wenn ich diese dann rausnehme und meinen Computer neustarte, ist wieder ein Neuer eintrag in der RunDLL unter anderem namen drin. Ad-Aware habe ich schon durchlaufen lassen, auch nichts gebracht. CWShredder meinte was, dass die MSCONFIG wahrscheinlich was haben solle.

Hier ist der eintrag der RUNDLL in der MSCONFIG:
RUN: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
Das sagt mir CWShredder...

Ich verzweifle langsam da ich auch nicht formatieren kann, da nicht viel zu sichern geht...

Bitte helft mir! Würde mich sehr freuen

Gruß

Hallo und :hallo:

Erstelle bitte ein Log mit Hijackthis und poste es hier in einem Zitat

Zitat:

Zitat

Wegen TR/CRYPT.XPACK.GEN muss man nicht unbedingt gleich formatieren! Aber je nach dem was noch so da ist wäre es möglicherweiße nötig!

Naja das "afehjxs" ist schon seltsam und für mich zu 99% ein Schadprogramm :D Aber das finden wir später heraus!

Habs mir runtergeladen, aber leider ist es halt so das ich keine Programme starten kann...

Zitat:

Habs mir runtergeladen, aber leider ist es halt so das ich keine Programme starten kann...

HÄH?:eek: Ähm hast du das hijackthis mal umbenannt? Bist du admin? Kommen fehlermeldungen? Alle infos müssen her sonst kann ich dir nicht weiterhelfen! Schon im Abgesichertmodus versucht?

Abgesichert noch nicht versucht. Das einzige was halt kommt ist: Die sanduhr und sont nix weiteres... Werde jetzt mal in den Abgesicherten modus gehen, melde mich gleich wieder

Zitat:

Abgesichert noch nicht versucht. Das einzige was halt kommt ist: Die sanduhr und sont nix weiteres... Werde jetzt mal in den Abgesicherten modus gehen, melde mich gleich wieder

Ok mach das, das sollte den fehler beheben wenn dieser durch den TR/CRYPT.XPACK.GEN vursacht wird!

So war im Abgesicherten modus, aber habe es destotroz nicht starten können. Irgendwas stimmt da nicht... Bitte sagt mir nicht, dass ich formatieren muss

Zitat:

So war im Abgesicherten modus, aber habe es destotroz nicht starten können. Irgendwas stimmt da nicht... Bitte sagt mir nicht, dass ich formatieren muss

Ok... das ist eben eine schwere situation da unsere werkzeuge eben programme sind! Und wenn diese nciht funktionieren können wir nicht viel machen! Seit wann kannst du keine programme mehr starten? Was meinst du mit programmen? Dein browser funktioniert doch! Meinst du nur die setups? Hast du schonmal nur die hijackthis.exe ausgeführt?
Fragen über Fragen :D

Ja also halt Programme wie Antivir etc. z.b. der AntivirAgent geht nicht mehr, Spiele gehen nicht mehr zu starten etc etc. Browser gehen noch, doch auch auf manche Seiten komme ich nicht...

Könntest du manuell alle für dich auffälligen Einträge im autostart hier rein posten? Oder einfach mal alles! Wenn wir es dadurch schaffen das du wieder programme benutzen kannst bin ich zufrieden danach gehts weiter!

Naja alle reinzuschreiben die Komisch sind is ja net schwer^^

qlfvebny RUNDLL32.exe der is aktiv

nun die unaktiven:
qlfvebny RUNDLL32.exe
ybrecfjn RUNDLL32.exe

wie man sieht: 1x ist die qlfvebny aktiv und beim anderen eintrag ist der gleiche inaktiv

Ähm so meinte ich das nicht! Ich meine mit den Pfaden etc.

So langsam bin ich mit meinem latein am ende!

Versuche mal die systemwiederherstellung!

Edit: Ok auf ein neues!

Zitat:

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten

Stelle dein system so ein das Alle versteckten dateien und ordner angezeigt werden und bekannte dateiendungen nicht umbenannt werden!

Zitat:

Windows XP: Gehen Sie im Menü zum Eintrag "Extras" und klicken Sie dort auf "Ordneroptionen". Im sich öffnenden Einstellungsfenster wählen Sie nun den Reitereintrag "Ansicht" aus. In der Liste, die sich nun präsentiert, nehmen Sie das Häkchen bei "Erweiterungen für bekannte Dateiendungen ausblenden" raus und bestätigen die Aktion mit einem Klick auf den Button "Übernehmen".
Windows Vista: Gehen Sie im Menü zum Eintrag "Organisieren". Dort wählen Sie den Eintrag "Ordner- und Suchoptionen" aus. Im sich öffnenden Einstellungsfenster wählen Sie nun den Reitereintrag "Ansicht" aus. In der Liste, die sich anschließend präsentiert, nehmen Sie das Häkchen bei "Erweiterungen für bekannte Dateiendungen ausblenden" raus und bestätigen die Aktion mit einem Klick auf den Button "Übernehmen".

Wenn du das gemacht hast ändere den namen von Hijackthis.exe in ABC.com und versuche es zu starten!

PS: Danke KarlKarl für deine tipps ich war mit dem latein am ende :D

Also da steht:

Zitat:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background" [MS]
"igndlm.exe" = "C:\Programme\Download Manager\dlm.exe /windowsstart /startifwork" ["IGN Entertainment"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{03665797-2FCF-4499-AA61-0F9B0981AC55}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\dxxrefmo.dll" [file not found]
{04e86ebb-9287-470d-bc45-4ffd8975b73b}\(Default) = "{b37b5798-dff4-54cb-d074-7829bbe68e40}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ctgabq.dll" [null data]
{4D218E33-71DE-447F-89F0-068984D6A006}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddayw.dll" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{78EC0F96-9DD7-4C3E-A5A6-16A638985440}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\pmnnl.dll" [null data]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]
{B3740027-0036-49BF-98E7-04F4F903D67B}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ljjhhfg.dll" [file not found]
{C1E5149F-A9E4-44C5-B4C8-05B78DAEAA0D}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\Lowfyr\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1QJ4PA3\silent.dll[1].bak" [MS]
{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FDMIECookiesBHO Class"
\InProcServer32\(Default) = "C:\Programme\Free Download Manager\iefdm2.dll" [null data]
{D995E5C1-2FCF-4499-AA61-0F9B0981AC55}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\dxxrefmo.dll" [file not found]
{F156768E-81EF-470C-9057-481BA8380DBA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FlashGet GetFlash Class"
\InProcServer32\(Default) = "C:\Programme\FlashGet\getflash.dll" ["www.flashget.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{B3740027-0036-49BF-98E7-04F4F903D67B}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ljjhhfg.dll" [file not found]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\pmnnl"

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> ljjhhfg\DLLName = "ljjhhfg.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Default executables:
--------------------

HKLM\SOFTWARE\Classes\.exe\(Default) = "exefile"
<<!>> HKLM\SOFTWARE\Classes\exefile\shell\open\command\(Default) = ""%1"%*" [file not found]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Lowfyr" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\Lowfyr\Startmenü\Programme\Autostart
"AM772CFG" -> shortcut to: "C:\Programme\Wireless LAN Utility\Am772cfg.exe" ["Advanced Micro Devices Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "FlashGet"
"Exec" = "C:\Programme\FlashGet\FlashGet.exe" ["FlashGet.com"]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search && Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 3 domain names to IP addresses,
2 of the IP addresses are *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
Hotspot Shield Service, HotspotShieldService, "C:\Programme\Hotspot Shield\bin\openvpnas.exe" [null data]
Lavasoft Ad-Aware Service, aawservice, "C:\Programme\Lavasoft\Ad-Aware\aawservice.exe" ["Lavasoft"]
npkcmsvc, npkcmsvc, "C:\Nexon\Mabinogi\npkcmsvc.exe" ["INCA Internet Co., Ltd."]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

---------- (launch time: 2008-09-27 08:18:20)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 65 seconds.
---------- (total run time: 105 seconds)

Hofffe da steht was helfendes drin...

Und eben habe ich nochmal eine fehlermeldung bekommen

http://img221.imageshack.us/img221/3...rrundllwa0.jpg
http://img221.imageshack.us/img221/f...jpg/1/w482.png

EDIT:
Wenn ich nun aus hijack.exe, abc.com mache, passiert immernoch das gleiche... Kurz Sanduhr mehr nicht

Kann mir keiner helfen? :(

Kannst du dir Malwarebytes herunterladen und ausführen?

Das sollte erstmal Vundo außer Kraft setzen, danach sehen wir weiter.

Eventuell wäre aber ein Neuaufsetzen schneller und einfacher. Es ist deine Entscheidung.

lg myrtille

Zitat:

Kann mir keiner helfen?

Sry bin am wochenende ein langschläfer :D

Das einfachste wäre das Neuaufsetzen! Aber da du das ja nicht willst probieren wirs eben anderst! Wenn Malwarebytes funktioniert wäre das super aber ich schätze das wieder nichts passiert! Aber das werden wir ja sehen!

Also funtzen tut es nicht, aber ich habe was herausgefunden. Normale exen oder so die ich aus dem netz laden funktionieren. Sobald ich aber eine Installdatei nutze, um das programm zu installieren, klappt es nicht mehr

Dann lade doch einfach hijackthis als ausführbare exe und ohne zip oder installer hier der link

DOWNLOAD HIJACKTHIS

Das muss doch dann funktionieren! Diese datei dann in ABC.com umbenennen und ausführen!

geht leider doch nicht.... bei anderen programmen gehts aber auch nicht bei allen...

Ich muss dir ehrlich sagen mir fällt in deinem fall nichts anderes außer Neuaufsetzen ein!

Zitat:

http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html

Wenn jemandem doch noch etwas einfällt sagt es ihm!

Tja... das problem ist leider folgendes:

1. Die Windows XP CD habe ich damals von einem Freund bekommen. Die hat er Pirate erhalten. Nun ist diese leider kaputt, sodass ich weder formatieren, noch installieren kann.

2. Kann ich meine Daten nicht sichern, da ich keine DVD Rohlinge habe.

Zitat:

Zitat von Lowfyr (Beitrag 377560)

Dann bestelle eine neue z.B bei amazon über einen sauberen PC und geh mit dem verseuchten PC erstmal nicht ins Internet bzw. lass ihn aus , bis Du die CD hast.

Zitat:

2. Kann ich meine Daten nicht sichern, da ich keine DVD Rohlinge habe.

Dann renn schnell zu Aldi oder Lidl und besorg Dir welche :rolleyes:

war ich schon, die haben aber keine da^^

Zitat:

Zitat von Lowfyr (Beitrag 377564)

war ich schon, die haben aber keine da^^

Bei uns haben Die immer welche :D
Lei' Dir einen DVD-Rohling von einem Freund oder versuche es bei einem anderen Supermarkt.

Kauf dir ne legale XP version!
Wer weiß was du dir wieder an Malware auf den Rechner mitinstallierst, wenn du dir irgendwo ne illegale Kopie holst.

Ehrlich wir hätten hier vielleicht 10% der Fälle, die wir jetzt haben, wenn nicht überall geklaute Software im Betrieb wär.

Wenn du ausführbare Dateien ausm Inet noch benutzen kannst, dann versuch es mal damit:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Hier derLog

Zitat:

ComboFix 08-09-26.06 - Lowfyr 2008-09-27 17:54:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.669 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Lowfyr\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Lowfyr\LOKALE~1\Temp\tmp1.tmp
C:\DOKUME~1\Lowfyr\LOKALE~1\Temp\tmp2.tmp
C:\Dokumente und Einstellungen\Lowfyr\Cookies\lowfyr@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Lowfyr\Cookies\lowfyr@adtrgt[2].txt
C:\Dokumente und Einstellungen\Lowfyr\Cookies\lowfyr@antispywaremeister[1].txt
C:\Dokumente und Einstellungen\Lowfyr\Cookies\lowfyr@partners.webmasterplan[2].txt
C:\Dokumente und Einstellungen\Lowfyr\Cookies\lowfyr@server.cpmstar[1].txt
C:\Dokumente und Einstellungen\Lowfyr\Cookies\lowfyr@sichererantivirus[2].txt
C:\Dokumente und Einstellungen\Lowfyr\Lokale Einstellungen\Temporary Internet Files\ijjistarter_verinfo.dat
C:\Dokumente und Einstellungen\Thorge\Cookies\thorge@komtrack[2].txt
C:\WINDOWS\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
C:\WINDOWS\BM27cb0b5e.txt
C:\WINDOWS\BM27cb0b5e.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-27 bis 2008-09-27 ))))))))))))))))))))))))))))))
.

2008-09-27 17:27 . 2008-09-27 17:27 1,014,205 ---hs---- C:\WINDOWS\system32\ceunjxgm.ini
2008-09-27 17:27 . 2008-09-27 17:27 84,480 --a------ C:\WINDOWS\system32\mgxjnuec.dll
2008-09-27 17:24 . 2008-09-27 17:24 121,344 --a------ C:\WINDOWS\system32\qfhkxn.dll
2008-09-27 17:24 . 2008-09-27 17:24 121,344 --a------ C:\WINDOWS\system32\elnkmtmj.dll
2008-09-27 17:21 . 2008-09-27 17:21 115,712 --a------ C:\WINDOWS\system32\qohcdjmy.dll
2008-09-27 13:34 . 2008-09-27 16:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-27 13:34 . 2008-09-27 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-27 13:34 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-27 13:34 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-26 20:06 . 2008-09-26 20:06 <DIR> d-------- C:\Programme\Trend Micro
2008-09-26 17:25 . 2008-09-26 17:25 1,008,468 ---hs---- C:\WINDOWS\system32\njfcerby.ini
2008-09-26 17:25 . 2008-09-26 17:25 84,480 --a------ C:\WINDOWS\system32\ybrecfjn.dll
2008-09-26 17:22 . 2008-09-26 17:22 122,368 --a------ C:\WINDOWS\system32\kmjkyljp.dll
2008-09-26 17:22 . 2008-09-26 17:22 122,368 --a------ C:\WINDOWS\system32\ctgabq.dll
2008-09-26 14:34 . 2008-09-26 14:34 152 --a------ C:\regfix.reg
2008-09-26 14:24 . 2008-09-26 14:24 <DIR> d-------- C:\Programme\Lavasoft
2008-09-26 14:24 . 2008-09-26 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Lavasoft
2008-09-25 18:57 . 2008-09-25 18:57 236 --a------ C:\sqmdata19.sqm
2008-09-25 18:57 . 2008-09-25 18:57 200 --a------ C:\sqmnoopt19.sqm
2008-09-25 18:33 . 2008-09-25 18:33 <DIR> d-------- C:\Programme\Codemasters
2008-09-25 17:25 . 2008-09-25 18:54 1,219,258 ---hs---- C:\WINDOWS\system32\fhogxvst.ini
2008-09-25 17:22 . 2008-09-25 17:22 121,856 --a------ C:\WINDOWS\system32\ilwtii.dll
2008-09-25 17:22 . 2008-09-25 17:22 121,856 --a------ C:\WINDOWS\system32\dcforpad.dll
2008-09-25 17:19 . 2008-09-25 17:19 107,008 --a------ C:\WINDOWS\system32\dgcrovvx.dll
2008-09-25 14:35 . 2008-09-25 14:36 <DIR> d-------- C:\Programme\Bagger-Simulator 2008
2008-09-24 20:48 . 2008-09-24 20:48 1,587 --a------ C:\WINDOWS\ATICIM.INI
2008-09-24 17:25 . 2008-09-24 17:25 1,207,406 ---hs---- C:\WINDOWS\system32\yhpagtrv.ini
2008-09-24 17:22 . 2008-09-24 17:22 119,808 --a------ C:\WINDOWS\system32\khcdll.dll
2008-09-24 16:19 . 2008-09-24 16:19 1,214,492 ---hs---- C:\WINDOWS\system32\jsubsvki.ini
2008-09-24 15:32 . 2008-09-24 15:32 <DIR> d-------- C:\Programme\Modelleisenbahn 2008 Demo
2008-09-24 15:29 . 2008-09-24 15:31 <DIR> d-------- C:\Programme\M�llabfuhr-Simulator 2008 DEMO
2008-09-24 13:52 . 2008-09-24 13:52 236 --a------ C:\sqmdata18.sqm
2008-09-24 13:52 . 2008-09-24 13:52 200 --a------ C:\sqmnoopt18.sqm
2008-09-24 13:46 . 2008-09-24 13:46 236 --a------ C:\sqmdata17.sqm
2008-09-24 13:46 . 2008-09-24 13:46 200 --a------ C:\sqmnoopt17.sqm
2008-09-24 13:38 . 2008-09-24 13:38 <DIR> d-------- C:\WINDOWS\Logs
2008-09-24 12:46 . 2008-09-24 12:46 236 --a------ C:\sqmdata16.sqm
2008-09-24 12:46 . 2008-09-24 12:46 200 --a------ C:\sqmnoopt16.sqm
2008-09-23 21:49 . 2008-09-23 21:49 <DIR> d-------- C:\Programme\NickOnline
2008-09-23 16:17 . 2008-09-24 13:52 1,350,616 ---hs---- C:\WINDOWS\system32\mbpxfmhi.ini
2008-09-23 16:14 . 2008-09-23 16:14 107,008 --a------ C:\WINDOWS\system32\gvmuieyv.dll
2008-09-23 13:01 . 2008-09-23 13:01 236 --a------ C:\sqmdata15.sqm
2008-09-23 13:01 . 2008-09-23 13:01 200 --a------ C:\sqmnoopt15.sqm
2008-09-22 20:45 . 2008-09-27 11:45 <DIR> d-------- C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\DivX
2008-09-22 16:22 . 2008-09-23 13:00 1,318,884 ---hs---- C:\WINDOWS\system32\xdppwtrh.ini
2008-09-22 13:35 . 2008-09-22 13:35 236 --a------ C:\sqmdata14.sqm
2008-09-22 13:35 . 2008-09-22 13:35 200 --a------ C:\sqmnoopt14.sqm
2008-09-21 18:43 . 2008-09-21 18:43 236 --a------ C:\sqmdata13.sqm
2008-09-21 18:43 . 2008-09-21 18:43 200 --a------ C:\sqmnoopt13.sqm
2008-09-21 18:42 . 2008-09-21 18:42 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-09-21 17:49 . 2008-09-21 17:49 <DIR> d-------- C:\Programme\Euro Truck Simulator
2008-09-21 16:18 . 2008-09-22 16:19 1,318,764 ---hs---- C:\WINDOWS\system32\hnoqsswk.ini
2008-09-21 09:07 . 2008-09-21 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\FarmingSimulator2008
2008-09-21 09:06 . 2008-09-21 09:06 <DIR> d-------- C:\WINDOWS\95FC26FB19FD4A96BBB1B1062E8648F5.TMP
2008-09-21 09:05 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-09-20 21:45 . 2008-09-20 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\FarmingSimulator2008Demo
2008-09-20 21:42 . 2008-09-21 20:39 <DIR> d-------- C:\Programme\Landwirtschafts-Simulator 2008 Demo
2008-09-20 21:04 . 18,688 C:\WINDOWS\system32\drivers\bmccpugs.dat
2008-09-20 21:04 . 5,120 C:\WINDOWS\system32\drivers\rblnlpyq.dat
2008-09-20 20:58 . 2008-09-20 20:58 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-09-20 20:58 . 2008-09-20 20:58 236 --a------ C:\sqmdata12.sqm
2008-09-20 20:58 . 2008-09-20 20:58 200 --a------ C:\sqmnoopt12.sqm
2008-09-20 20:37 . 2008-09-20 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\DAEMON Tools
2008-09-20 20:33 . 2008-09-20 20:33 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-09-20 16:15 . 2008-09-21 16:16 1,285,748 ---hs---- C:\WINDOWS\system32\hhmltkxx.ini
2008-09-20 11:07 . 2008-09-20 11:07 <DIR> d-------- C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\SPORE
2008-09-20 10:57 . 2008-09-20 10:57 <DIR> d-------- C:\Programme\Electronic Arts
2008-09-19 18:46 . 2008-09-19 18:55 <DIR> d-------- C:\Programme\SFT Loader
2008-09-19 16:15 . 2008-09-19 16:15 1,285,628 ---hs---- C:\WINDOWS\system32\exugefhh.ini
2008-09-19 13:02 . 2008-09-19 13:02 236 --a------ C:\sqmdata11.sqm
2008-09-19 13:02 . 2008-09-19 13:02 200 --a------ C:\sqmnoopt11.sqm
2008-09-17 16:11 . 2008-09-17 16:11 <DIR> d-------- C:\Programme\GpotatoEu
2008-09-16 06:59 . 2008-09-19 16:12 1,286,558 ---hs---- C:\WINDOWS\system32\mekamaty.ini
2008-09-16 06:53 . 2008-09-16 06:53 1,362,700 ---hs---- C:\WINDOWS\system32\qvxuqbeh.ini
2008-09-16 02:14 . 2008-09-16 02:14 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-09-16 02:14 . 2008-09-16 02:14 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-09-16 02:14 . 2008-09-16 02:14 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2008-09-16 02:14 . 2008-09-16 02:14 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-09-16 02:11 . 2008-09-16 02:11 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2008-09-16 02:11 . 2008-09-16 02:11 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2008-09-16 02:11 . 2008-09-16 02:11 815,104 --a------ C:\WINDOWS\system32\divx_xx0a.dll
2008-09-16 02:11 . 2008-09-16 02:11 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2008-09-16 02:11 . 2008-09-16 02:11 683,520 --a------ C:\WINDOWS\system32\DivX.dll
2008-09-16 02:11 . 2008-09-16 02:11 634,880 --a------ C:\WINDOWS\system32\divxdec.ax
2008-09-16 02:11 . 2008-09-16 02:11 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-09-16 02:11 . 2008-09-16 02:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-16 02:11 . 2008-09-16 02:11

Log Teil 2

Zitat:

12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-09-14 21:29 . 2008-09-14 21:29 236 --a------ C:\sqmdata10.sqm
2008-09-14 21:29 . 2008-09-14 21:29 200 --a------ C:\sqmnoopt10.sqm
2008-09-14 21:26 . 2008-09-15 21:26 1,298,725 ---hs---- C:\WINDOWS\system32\kypdyolc.ini
2008-09-14 20:36 . 2008-09-14 20:36 236 --a------ C:\sqmdata09.sqm
2008-09-14 20:36 . 2008-09-14 20:36 200 --a------ C:\sqmnoopt09.sqm
2008-09-14 11:50 . 2008-09-14 11:50 <DIR> d-------- C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\Megaupload
2008-09-14 11:49 . 2008-09-14 11:49 <DIR> d-------- C:\Programme\Megaupload
2008-09-13 21:23 . 2008-09-14 21:26 1,298,545 ---hs---- C:\WINDOWS\system32\vvxweoii.ini
2008-09-12 21:24 . 2008-09-12 22:11 1,296,127 ---hs---- C:\WINDOWS\system32\bnontiof.ini
2008-09-11 21:20 . 2008-09-12 21:21 1,308,288 ---hs---- C:\WINDOWS\system32\nherwngl.ini
2008-09-11 20:01 . 2008-09-11 20:01 <DIR> d-------- C:\Programme\Die Gilde 2 - Gold Edition
2008-09-10 21:27 . 2008-09-11 15:47 1,344,966 ---hs---- C:\WINDOWS\system32\xpedseci.ini
2008-09-09 21:27 . 2008-09-09 21:27 1,303,286 ---hs---- C:\WINDOWS\system32\suhbbohi.ini
2008-09-09 21:21 . 2008-09-09 21:21 121,856 --a------ C:\WINDOWS\system32\mknabc.dll
2008-09-09 21:21 . 2008-09-09 21:21 121,856 --a------ C:\WINDOWS\system32\gxnsegjm.dll
2008-09-09 21:18 . 2008-09-09 21:18 105,472 --a------ C:\WINDOWS\system32\mkyfofao.dll
2008-09-08 21:26 . 2008-09-09 21:26 1,303,226 ---hs---- C:\WINDOWS\system32\ovcbhhny.ini
2008-09-07 21:22 . 2008-09-08 21:23 1,303,106 ---hs---- C:\WINDOWS\system32\jpjreadb.ini
2008-09-06 22:59 . 2003-02-21 14:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-09-06 21:19 . 2008-09-06 21:20 1,504,697 ---hs---- C:\WINDOWS\system32\jwiimbac.ini
2008-09-06 20:00 . 2008-09-11 19:49 <DIR> d-------- C:\Programme\cFlyFF
2008-09-05 21:19 . 2008-09-05 21:20 1,504,637 ---hs---- C:\WINDOWS\system32\nwytaojj.ini
2008-09-04 21:22 . 2008-09-04 21:24 1,504,577 ---hs---- C:\WINDOWS\system32\jlopobhl.ini
2008-09-04 21:13 . 2008-09-04 21:13 105,472 --a------ C:\WINDOWS\system32\xtfbvrce.dll
2008-09-03 21:22 . 2008-09-03 21:23 1,449,837 ---hs---- C:\WINDOWS\system32\krhgubsh.ini
2008-09-02 21:22 . 2008-09-02 21:23 1,449,777 ---hs---- C:\WINDOWS\system32\yehhkngy.ini
2008-09-01 21:13 . 2008-09-02 21:15 1,449,717 ---hs---- C:\WINDOWS\system32\stssrvle.ini
2008-08-31 21:22 . 2008-08-31 21:22 110,592 --a------ C:\WINDOWS\system32\vayskawa.dll
2008-08-31 21:22 . 2008-08-31 21:22 110,592 --a------ C:\WINDOWS\system32\swlymp.dll
2008-08-31 21:16 . 2008-09-01 17:24 1,449,657 ---hs---- C:\WINDOWS\system32\lvpwevjs.ini
2008-08-30 21:22 . 2008-08-31 13:07 1,449,537 ---hs---- C:\WINDOWS\system32\glnjmbci.ini
2008-08-30 00:02 . 2008-08-30 00:02 <DIR> d-------- C:\nDoors
2008-08-29 21:21 . 2008-08-29 21:21 110,592 --a------ C:\WINDOWS\system32\vrtuyqsv.dll
2008-08-29 21:21 . 2008-08-29 21:21 110,592 --a------ C:\WINDOWS\system32\qflkun.dll
2008-08-29 21:12 . 2008-08-29 21:13 1,433,705 ---hs---- C:\WINDOWS\system32\nljxqqlr.ini
2008-08-28 21:11 . 2008-08-29 21:13 1,454,813 ---hs---- C:\WINDOWS\system32\xydvwnxc.ini
2008-08-27 20:49 . 2008-08-27 20:49 1,496,897 ---hs---- C:\WINDOWS\system32\jhipfphw.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-27 15:51 518,800 --sha-w C:\WINDOWS\system32\lnnmp.ini2
2008-09-27 13:41 --------- d-----w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\Free Download Manager
2008-09-27 09:44 --------- d-----w C:\Programme\DivX
2008-09-26 12:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-24 14:13 --------- d-----w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\IGN_DLM
2008-09-24 13:31 --------- d-----w C:\Programme\Müllabfuhr-Simulator 2008 DEMO
2008-09-22 20:44 --------- d-----w C:\Programme\ICQ6
2008-09-20 19:44 --------- d-----w C:\Programme\AGEIA Technologies
2008-09-20 08:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-20 08:32 --------- d-----w C:\Programme\Silkroad
2008-09-19 16:42 --------- d--h--w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\ijjigame
2008-09-17 18:27 --------- d-----w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\teamspeak2
2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-09-16 00:12 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-09-16 00:12 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-09-16 00:12 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-09-16 00:12 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-09-16 00:12 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-09-16 00:12 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-09-16 00:12 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-09-15 19:11 --------- d-----w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\Hamachi
2008-09-14 08:55 --------- d-----w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\Skype
2008-09-12 15:09 --------- d-----w C:\Programme\gPotato
2008-09-03 17:31 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater
2008-08-29 22:24 --------- d-----w C:\Programme\Outspark
2008-08-28 22:39 --------- d-----w C:\Programme\Download Manager
2008-08-26 19:38 --------- d-----w C:\Programme\MHTC
2008-08-21 04:52 3,299,840 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-08-21 02:19 425,984 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-21 02:18 314,880 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-08-21 02:08 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-08-21 02:08 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-08-21 02:07 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-08-21 02:07 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-08-21 02:07 143,360 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-08-21 02:05 573,440 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-08-21 02:04 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-08-21 02:01 10,084,352 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-08-21 01:55 4,094,560 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-08-21 01:50 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-08-21 01:38 2,377,856 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-08-21 01:23 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-08-21 01:19 380,928 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-08-21 01:18 37,376 ----a-w C:\WINDOWS\system32\atiadlxx.dll
2008-08-21 01:18 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-08-21 01:17 53,248 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2008-08-21 01:17 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-08-21 01:11 561,152 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-08-20 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-08-20 11:15 --------- d-----w C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\skypePM
2008-08-18 09:55 103,936 ----a-w C:\WINDOWS\system32\naidcgav.dll
2008-08-17 12:34 --------- d-----w C:\Programme\Gameforge4D
2008-08-17 09:56 106,496 ----a-w C:\WINDOWS\system32\wvqohmet.dll
2008-08-16 09:59 120,832 ----a-w C:\WINDOWS\system32\vcxvjntj.dll
2008-08-16 09:59 120,832 ----a-w C:\WINDOWS\system32\ezycjb.dll
2008-08-14 10:00 111,616 ----a-w C:\WINDOWS\system32\ugirnw.dll
2008-08-14 10:00 111,616 ----a-w C:\WINDOWS\system32\tlvtekqx.dll
2008-08-10 09:50 105,472 ----a-w C:\WINDOWS\system32\uvlpihqk.dll
2008-08-09 09:49 105,472 ----a-w C:\WINDOWS\system32\wldpmytc.dll
2008-08-05 21:14 90,112 ----a-w C:\WINDOWS\system32\ATIBRTMON.EXE
2008-08-04 15:56 --------- d-----w C:\Programme\Avira
2008-08-04 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2008-08-01 22:56 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-08-01 22:25 --------- d-----w C:\Programme\DANCE!ONLINE
2008-07-31 18:02 113,152 ----a-w C:\WINDOWS\system32\gyajascy.dll
2008-07-31 18:02 113,152 ----a-w C:\WINDOWS\system32\eqwhjt.dll
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-30 17:59 110,592 ----a-w C:\WINDOWS\system32\ofksjmaw.dll
2008-07-30 17:59 110,592 ----a-w C:\WINDOWS\system32\khpabc.dll
2008-07-30 17:56 107,520 ----a-w C:\WINDOWS\system32\xjuqkjnf.dll
2008-07-28 17:58 111,616 ----a-w C:\WINDOWS\system32\xmioekdd.dll
2008-07-28 17:58 111,616 ----a-w C:\WINDOWS\system32\ftrltt.dll
2008-07-27 21:13 --------- d-----w C:\Programme\Opera
2008-07-27 13:30 --------- d-----w C:\Programme\JoWooD
2008-07-25 17:51 281,088 ----a-w C:\WINDOWS\system32\pmnnl.dll
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-07-21 15:56 466,792 --sha-w C:\WINDOWS\system32\wyadd.ini2
2008-07-18 14:18 49,152 ----a-w C:\WINDOWS\system32\apache.dll
2008-07-17 12:38 51,712 ----a-w C:\WINDOWS\system32\sirenacm.dll
2008-07-14 05:54 112,704 ----a-w C:\WINDOWS\system32\lorcws.dll
2008-07-14 05:54 112,704 ----a-w C:\WINDOWS\system32\iymeuwod.dll
2008-07-12 06:18 467,984 ----a-w C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w C:\WINDOWS\system32\D3DCompiler_39.dll
2008-07-06 11:49 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-10 18:02 5,767 ----a-w C:\Programme\install.log
2007-11-30 11:56 23 ----a-w C:\Dokumente und Einstellungen\Silkroad\silkcfg.dat
2007-11-29 21:16 778,240 ----a-w C:\Dokumente und Einstellungen\Silkroad\silkroad.exe
2007-11-29 20:55 2,598,912 ----a-w C:\Dokumente und Einstellungen\Silkroad\sro_client.exe
2007-11-29 20:52 227,767 ----a-w C:\Dokumente und Einstellungen\Silkroad\Remove.Exe
2007-11-18 18:57 22,328 ----a-w C:\Dokumente und Einstellungen\Thorge\Anwendungsdaten\PnkBstrK.sys
2006-08-12 22:54 458,752 ----a-w C:\Dokumente und Einstellungen\Silkroad\GFXFileManager.dll
2006-07-11 19:40 319,488 ----a-w C:\Dokumente und Einstellungen\Silkroad\replacer.exe
2005-06-24 13:31 243 ----a-w C:\Dokumente und Einstellungen\Silkroad\Remove.dat
.

------- Sigcheck -------

2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-04 00:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\SoftwareDistribution\Download\28401d44e28d5fe988966badd69aee22\sp2gdr\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\SoftwareDistribution\Download\28401d44e28d5fe988966badd69aee22\sp2qfe\tcpip.sys
2004-08-04 00:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AC5BE8F5-B2A8-4F9A-90E4-EE6FEE23ED90}]
2008-07-25 19:51 281088 --a------ C:\WINDOWS\system32\pmnnl.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e889fde4-c57e-4c72-869d-32a5fb36105b}]
2008-09-27 17:24 121344 --a------ C:\WINDOWS\system32\qfhkxn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2008-07-17 3300352]
"igndlm.exe"="C:\Programme\Download Manager\dlm.exe" [2008-08-01 1103216]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768]
"BM27cb0b5e"="C:\WINDOWS\system32\qohcdjmy.dll" [2008-09-27 115712]
"24f838c2"="C:\WINDOWS\system32\mgxjnuec.dll" [2008-09-27 84480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Thorge\Startmen�\Programme\Autostart\
hamachi.lnk - C:\Programme\Hamachi\hamachi.exe [2007-12-02 624416]
Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-05-14 3007824]

C:\Dokumente und Einstellungen\Lowfyr\Startmen�\Programme\Autostart\
AM772CFG.lnk - C:\Programme\Wireless LAN Utility\Am772cfg.exe [2004-01-07 145808]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=qfhkxn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lowfyr^Startmenü^Programme^Autostart^GameSpot Download Manager.lnk]
path=C:\Dokumente und Einstellungen\Lowfyr\Startmenü\Programme\Autostart\GameSpot Download Manager.lnk
backup=C:\WINDOWS\pss\GameSpot Download Manager.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Lowfyr^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\Lowfyr\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\24f838c2]
--a------ 2008-09-26 17:25 84480 C:\WINDOWS\system32\ybrecfjn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
--a------ 2007-09-25 11:29 2007088 C:\Programme\FlashGet\flashget.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
--a------ 2008-01-01 00:05 2449455 C:\Programme\Free Download Manager\fdm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 17:08 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igndlm.exe]
--a------ 2008-08-01 13:36 1103216 C:\Programme\Download Manager\DLM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:58 1667584 C:\Programme\messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2008-07-17 14:42 3300352 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2002-08-28 22:39 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2002-08-28 22:39 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-04-30 17:17 22058792 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-01-21 14:19 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-05-10 19:08 16342528 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2007-05-07 19:51 1826816 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 zcbiwyxl;zcbiwyxl;C:\WINDOWS\system32\drivers\bmccpugs.dat [ ]
R1 BIOS;BIOS;C:\WINDOWS\System32\drivers\BIOS.sys [2005-03-16 13696]
R2 npkcmsvc;npkcmsvc;C:\Nexon\Mabinogi\npkcmsvc.exe [2007-08-02 80528]
R3 Am772;AMD Alchemy(tm) Solutions Wireless 802.11 Adapter;C:\WINDOWS\system32\DRIVERS\Am772.sys [2003-10-27 168518]
R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 27136]
S3 XDva068;XDva068;C:\WINDOWS\system32\XDva068.sys [ ]
S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys [ ]
S3 XDva132;XDva132;C:\WINDOWS\system32\XDva132.sys [ ]
S3 XDva164;XDva164;C:\WINDOWS\system32\XDva164.sys [ ]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{03665797-2FCF-4499-AA61-0F9B0981AC55} - C:\WINDOWS\system32\dxxrefmo.dll
BHO-{056EE822-A508-4F68-A63F-F3684E353653} - (no file)
BHO-{1A830389-3B31-42B9-BC36-93C66C3A1B40} - (no file)
BHO-{1E657EF7-8919-4555-96A1-D38DB533EB9D} - (no file)
BHO-{2193f2c1-f080-4748-8878-3f6a72b5ab0c} - (no file)
BHO-{21e90683-c8b1-4e59-a2e7-28e64ae89b34} - (no file)
BHO-{3d507f29-c260-4fdb-b631-4272f17cde15} - (no file)
BHO-{3f8bf0aa-9c19-473d-afc6-f066e5f945c0} - (no file)
BHO-{43926538-8ba2-4262-a2a0-9b4a39cb0b3d} - (no file)
BHO-{4540F9C6-38BC-4A99-8BA2-01EF7FF672BA} - (no file)
BHO-{4D218E33-71DE-447F-89F0-068984D6A006} - C:\WINDOWS\system32\ddayw.dll
BHO-{4ead65f2-f80e-48a5-9b4c-405bb097e635} - (no file)
BHO-{55FC6EA9-7E48-48BD-A9DA-8507F37459FD} - (no file)
BHO-{5916DD33-9FF1-41D0-A7B1-7102D803A5A2} - (no file)
BHO-{621c02a9-f895-4589-bf30-cc483063cb59} - (no file)
BHO-{62baa633-1c6c-43d4-97d8-b1e85486f866} - (no file)
BHO-{77da5b8d-99a8-4151-a6f3-793c02e3757f} - (no file)
BHO-{831590D1-1758-42A2-87DC-6BA7640BA962} - (no file)
BHO-{8B1D2234-5B7A-456B-8104-A4D6BAC70E31} - (no file)
BHO-{9D0740E2-8BDA-435F-9B78-7D975808C23C} - (no file)
BHO-{9DAD5565-DFAE-4F18-80CF-98BFF922A25E} - (no file)
BHO-{A1C10965-C291-4FE3-AF42-27160D1ECD22} - (no file)
BHO-{a93ebd5b-b5c2-4127-9994-552891f62faf} - (no file)
BHO-{BC077D5B-B730-44AA-98F8-1828028D24F0} - (no file)
BHO-{C1E5149F-A9E4-44C5-B4C8-05B78DAEAA0D} - C:\Dokumente und Einstellungen\Lowfyr\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1QJ4PA3\silent.dll[1].bak
BHO-{C76C67A5-D0E9-4381-ACBD-DB69E199EF82} - (no file)
BHO-{C78553C8-8C82-4023-9B12-81A088E23DDB} - (no file)
BHO-{cb4886d0-f338-4c74-9c37-7cc717a94d99} - (no file)
BHO-{cd758852-2520-4413-b15a-6457200f262c} - (no file)
BHO-{D083B946-7AE5-449D-944C-3B5832E003FA} - (no file)
BHO-{d0c397df-6899-4dca-9089-1dc96a4ed82c} - (no file)
BHO-{D20DF282-C766-4147-AEA8-FB32DFF6238B} - (no file)
BHO-{d55fa674-9307-46bb-9543-d0ae1ad7eafc} - (no file)
BHO-{D995E5C1-2FCF-4499-AA61-0F9B0981AC55} - C:\WINDOWS\system32\dxxrefmo.dll
BHO-{ded4b747-2a73-4374-8677-d5b29e20ca36} - (no file)
BHO-{E7260287-4D5F-4651-B681-FC6C3147E63B} - (no file)
BHO-{F3FFB861-6AC1-4FF9-A92E-729D00550754} - (no file)
BHO-{F76FE645-0E73-4344-BB5F-496BBE45DBE9} - (no file)
BHO-{faebe209-005c-4fc5-8fba-b2908bbb46f6} - (no file)
BHO-{FE53B020-1FDE-4D2B-ABDA-B5FD8F6A9F8E} - (no file)
Notify-ljjhhfg - ljjhhfg.dll
MSConfigStartUp-BM27cb0b5e - C:\WINDOWS\system32\qlfvebny.dll
MSConfigStartUp-PlayNC Launcher - C:\programme\ncsoft\launcher\NCLauncher.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\Mozilla\Firefox\Profiles\3vneq6h5.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.google.mozilla.com/firefox&client=firefox-a&rls=com.google:de:official
FF -: plugin - C:\Dokumente und Einstellungen\Lowfyr\Anwendungsdaten\Tenderfoot Games\Gunfighter\npTFGLaunchPlugin.dll
FF -: plugin - C:\Programme\Download Manager\npfpdlm.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npijjiFFPlugin1.dll
FF -: plugin - C:\Programme\Opera\program\plugins\npdivx32.dll
FF -: plugin - C:\Programme\Opera\program\plugins\npmmaud.dll
FF -: plugin - C:\Programme\Opera\program\plugins\npmmprog.dll
FF -: plugin - C:\Programme\Opera\program\plugins\npmmvid.dll
FF -: plugin - C:\Programme\Opera\program\plugins\npmmzip.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-27 18:06:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcbiwyxl]
"ImagePath"="system32\drivers\bmccpugs.dat"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\update.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\WINDOWS\system32\wbem\wmiadap.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-27 18:19:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-27 16:19:10

Vor Suchlauf: 3.821.993.984 Bytes frei
Nach Suchlauf: 4,799,475,712 Bytes frei

460 --- E O F --- 2008-01-15 19:43:29

Hi,

Erstell bitte ein FileListing mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Wieso hast du dich nicht schon vor anderthalb Monaten mal gemeldet? Dein System ist voll mit Vundodateien.

lg myrtille

Gibts da eine Lösung? Oder muss ich Formatieren?:(:(:(

Hi,
arbeite das hier bitte ab:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

http://www.trojaner-board.de/60734-problem-mit-programmen.html
 

killall::
 

driver::

XDva164

XDva132

XDva068

XDva090

zcbiwyxl
 

file::

C:\WINDOWS\system32\XDva068.sys

C:\WINDOWS\system32\XDva090.sys

C:\WINDOWS\system32\XDva132.sys

C:\WINDOWS\system32\XDva164.sys

C:\WINDOWS\system32\drivers\bmccpugs.dat

C:\WINDOWS\system32\drivers\rblnlpyq.dat

C:\WINDOWS\system32\wyadd.ini2

C:\WINDOWS\system32\lnnmp.ini2

C:\WINDOWS\system32\kypdyolc.ini

C:\WINDOWS\system32\vvxweoii.ini

C:\WINDOWS\system32\bnontiof.ini

C:\WINDOWS\system32\nherwngl.ini

C:\WINDOWS\system32\xpedseci.ini

C:\WINDOWS\system32\suhbbohi.ini

C:\WINDOWS\system32\ovcbhhny.ini

C:\WINDOWS\system32\jpjreadb.ini

C:\WINDOWS\system32\jwiimbac.ini

C:\WINDOWS\system32\nwytaojj.ini

C:\WINDOWS\system32\jlopobhl.ini

C:\WINDOWS\system32\krhgubsh.ini

C:\WINDOWS\system32\yehhkngy.ini

C:\WINDOWS\system32\stssrvle.ini

C:\WINDOWS\system32\lvpwevjs.ini

C:\WINDOWS\system32\glnjmbci.ini

C:\WINDOWS\system32\nljxqqlr.ini

C:\WINDOWS\system32\xydvwnxc.ini

C:\WINDOWS\system32\jhipfphw.ini

C:\WINDOWS\system32\ceunjxgm.ini

C:\WINDOWS\system32\njfcerby.ini

C:\WINDOWS\system32\fhogxvst.ini

C:\WINDOWS\system32\yhpagtrv.ini

C:\WINDOWS\system32\jsubsvki.ini

C:\WINDOWS\system32\mbpxfmhi.ini

C:\WINDOWS\system32\xdppwtrh.ini

C:\WINDOWS\system32\hnoqsswk.ini

C:\WINDOWS\system32\mekamaty.ini

C:\WINDOWS\system32\hhmltkxx.ini

C:\WINDOWS\system32\exugefhh.ini

C:\WINDOWS\system32\qvxuqbeh.ini

C:\WINDOWS\system32\2fdbfcbc-.txt

C\WINDOWS\system32\owmgurox.ini

C\WINDOWS\system32\vbumwwhk.ini

C\WINDOWS\system32\mulfpaba.ini

C\WINDOWS\system32\gkintafe.ini

C\WINDOWS\system32\baglpnui.ini

C\WINDOWS\system32\borpkmux.ini

C\WINDOWS\system32\cisvuekv.ini

C\WINDOWS\system32\stqdhmpo.ini

C\WINDOWS\system32\sgwqqiys.ini

C\WINDOWS\system32\yhcwxvsm.ini

C\WINDOWS\system32\frqgrxkx.ini

C\WINDOWS\system32\jmvdyqxt.ini

C\WINDOWS\system32\eibsyxic.ini

C\WINDOWS\system32\yftwpyed.ini

C\WINDOWS\system32\dvnksunb.ini

C\WINDOWS\system32\kkttnufd.ini

C\WINDOWS\system32\oqpokmqj.ini

C\WINDOWS\system32\dpyyyyub.ini

C\WINDOWS\system32\dgyfniva.ini

C\WINDOWS\system32\pbtrnfdp.ini

C\WINDOWS\system32\trcfhoxk.ini

C\WINDOWS\system32\xwustvfj.ini

C\WINDOWS\system32\lbodvtjf.ini

C\WINDOWS\system32\ojxdylyy.ini

C\WINDOWS\system32\kdqoonxe.ini

C\WINDOWS\system32\ghytovgf.ini

C\WINDOWS\system32\xgfteuvi.ini

C\WINDOWS\system32\ytlrchyv.ini

C\WINDOWS\system32\chkccqlx.ini

C\WINDOWS\system32\intrhohi.ini

C\WINDOWS\system32\rtvluksu.ini

C\WINDOWS\system32\wyadd.ini

C\WINDOWS\system32\wyadd.ini2

C\WINDOWS\system32\hcqedyly.ini

C\WINDOWS\system32\clkcnt.txt

C\WINDOWS\system32\qfeqqblj.ini

C\WINDOWS\system32\rwfbueys.ini

C\WINDOWS\system32\djusjdkd.ini

C\WINDOWS\system32\ehbugdvy.ini

C\WINDOWS\system32\tcqdwdyr.ini

C\WINDOWS\system32\pritdrgb.ini

C\WINDOWS\system32\oqugwade.ini

C\WINDOWS\system32\bycdvisk.ini

C\WINDOWS\system32\rtegiiur.ini

C\WINDOWS\system32\24f82a4c

C\WINDOWS\system32\pmieoovc.ini

C\WINDOWS\system32\oxvbbjmv.ini

C\WINDOWS\system32\jplqrmdn.ini

C\WINDOWS\system32\ypcqojww.ini

C\WINDOWS\system32\hxadyxwv.ini

C\WINDOWS\system32\sgtyhnoa.ini

C\WINDOWS\system32\pqgvgnsq.ini

C\WINDOWS\system32\utrvpwpy.ini

C\WINDOWS\system32\lmqkibuc.ini

C\WINDOWS\system32\edjaobin.ini

C\WINDOWS\system32\mkopfvhp.ini

C\WINDOWS\system32\mdmadmga.ini

C\WINDOWS\system32\dvuwekxi.ini

C\WINDOWS\system32\ppfxtvpt.ini

C\WINDOWS\system32\jlpjolau.ini

C\WINDOWS\system32\eehrkrxi.ini

C\WINDOWS\system32\gmxerrra.ini

C\WINDOWS\system32\bqiocovw.ini

C\WINDOWS\system32\kwxyfqjg.ini

C\WINDOWS\system32\shqupstg.ini

C\WINDOWS\system32\kevgmhji.ini

C\WINDOWS\system32\hdbrhkuy.ini

C\WINDOWS\system32\tamuafsj.ini

C\WINDOWS\system32\htoxckif.ini

C\WINDOWS\system32\mspeqqkl.ini

C\WINDOWS\system32\xrcjedfs.ini

C\WINDOWS\system32\fadimyco.ini

C\WINDOWS\system32\qrejvoxo.ini

C\WINDOWS\system32\nismjuhm.ini

C\WINDOWS\system32\wtcnxvfd.ini

C\WINDOWS\system32\obgbdtms.ini

C\WINDOWS\system32\odhgqjch.ini

C\WINDOWS\system32\qohsmqqs.ini

C\WINDOWS\system32\qminagme.ini

C\WINDOWS\system32\kbbrsocj.ini

C\WINDOWS\system32\qjkbipwq.ini

C\WINDOWS\system32\lpdivwaw.ini

C\WINDOWS\system32\xptgvogm.ini

C\WINDOWS\system32\rtitnske.ini

C\WINDOWS\system32\chkeoguv.ini

C\WINDOWS\system32\rgruxpeo.ini

C\WINDOWS\system32\xetvseii.ini

C\WINDOWS\system32\vbkwidkk.ini

C\WINDOWS\system32\orqss.ini

C\WINDOWS\system32\craigayd.ini

C\WINDOWS\system32\icrpsupt.ini

C\WINDOWS\system32\krodcmbs.ini

C\WINDOWS\system32\urgbaxlm.ini

C\WINDOWS\system32\usptukqk.ini

C\WINDOWS\system32\ezsidmv.dat

C\WINDOWS\system32\jolsotmg.ini

C\WINDOWS\system32\ylngbmsj.ini

C\WINDOWS\system32\itbhfcsk.ini

C\WINDOWS\system32\flwodtui.ini

C\WINDOWS\system32\dvpgehej.ini
 

collect::

C:\WINDOWS\system32\pmnnl.dll

C:\WINDOWS\system32\qfhkxn.dll

C:\WINDOWS\system32\lorcws.dll

C:\WINDOWS\system32\mknabc.dll

C:\WINDOWS\system32\khpabc.dll

C:\WINDOWS\system32\ftrltt.dll 

C:\WINDOWS\system32\eqwhjt.dll

C:\WINDOWS\system32\ezycjb.dll

C:\WINDOWS\system32\qflkun.dll

C:\WINDOWS\system32\swlymp.dll

C:\WINDOWS\system32\qfhkxn.dll

C:\WINDOWS\system32\ugirnw.dll

C:\WINDOWS\system32\ctgabq.dll

C:\WINDOWS\system32\ilwtii.dll

C:\WINDOWS\system32\khcdll.dll

C:\WINDOWS\system32\ybrecfjn.dll

C:\WINDOWS\system32\mgxjnuec.dll

C:\WINDOWS\system32\qohcdjmy.dll

C:\WINDOWS\system32\iymeuwod.dll

C:\WINDOWS\system32\gxnsegjm.dll

C:\WINDOWS\system32\mkyfofao.dll

C:\WINDOWS\system32\ofksjmaw.dll

C:\WINDOWS\system32\xjuqkjnf.dll

C:\WINDOWS\system32\gyajascy.dll

C:\WINDOWS\system32\wvqohmet.dll

C:\WINDOWS\system32\vcxvjntj.dll

C:\WINDOWS\system32\mgxjnuec.dll

C:\WINDOWS\system32\elnkmtmj.dll

C:\WINDOWS\system32\qohcdjmy.dll

C:\WINDOWS\system32\xtfbvrce.dll

C:\WINDOWS\system32\vayskawa.dll

C:\WINDOWS\system32\dcforpad.dll

C:\WINDOWS\system32\dgcrovvx.dll

C:\WINDOWS\system32\tlvtekqx.dll

C:\WINDOWS\system32\uvlpihqk.dll

C:\WINDOWS\system32\wldpmytc.dll

C:\WINDOWS\system32\naidcgav.dll

C:\WINDOWS\system32\vrtuyqsv.dll

C:\WINDOWS\system32\ybrecfjn.dll

C:\WINDOWS\system32\kmjkyljp.dll

C:\WINDOWS\system32\xmioekdd.dll

C:\WINDOWS\system32\gvmuieyv.dll

C\WINDOWS\system32\xbuttjra.dll
 

folder::

C:\WINDOWS\95FC26FB19FD4A96BBB1B1062E8648F5.TMP
 

registry::
 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\24f838c2]
 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e889fde4-c57e-4c72-869d-32a5fb36105b}]
 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AC5BE8F5-B2A8-4F9A-90E4-EE6FEE23ED90}]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSConfig"=-

"BM27cb0b5e"=-

"24f838c2"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=""

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Nach dem Neustart (falls gefragt wird ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Nach dem das Log erschienen ist, sollte sich das Popup öffnen:
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Bestaetige die Meldung und folge den Schritten, die dir im Internetexploerer angezeigt werden um die Dateien hochzuladen.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Sorry, das wusste ich nicht. Mach mich deswegen aber nicht gleich so an...

Hi,

Posting ist editiert mit Anweisungen.
Ich geh mir jetzt erstmal ne Pause genehmigen. :p

lg myrtille

danke für die mühe =) Werde mal meinen PC bereinigen

YAY DANKE!! Erstmal gehen die Programme wieder!!!!!

Zweitens: Hier der Log

File-Upload.net - ComboFix.txt

Hi,

hast du die Datei hochgeladen? Wenn nicht hole,das bitte noch nach

Lasse bitte noch folgende Datei bie virustotal auswerten:

Zitat:

C:\Dokumente und Einstellungen\Lowfyr\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1QJ4PA3\silent.dll[1].bak

lg myrtille

Der meint immer nur:

0 bytes size received / Se ha recibido un archivo vacio

Hi,

hast du die Datei, die Combofix erstellt hat den Hinweisen entsprechend hochgeladen?

Kannst du bitte ein Hijackthis log erstellen?

lg myrtille

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:06, on 28.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Wireless LAN Utility\Am772cfg.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Nexon\Mabinogi\npkcmsvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\abc.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {C1E5149F-A9E4-44C5-B4C8-05B78DAEAA0D} - C:\Dokumente und Einstellungen\Lowfyr\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1QJ4PA3\silent.dll[1].bak (file missing)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\dlm.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: AM772CFG.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Programme\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://gunfighter.wildwestonline.com
O15 - Trusted Zone: http://www.wildwestonline.com
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.7.109.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7C5D062A-7A1E-4A46-A02B-A928084CBD66} (MLauncherNew Class) - http://legendofares.netgame.com/download/MusaLauncherNew.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C87ED6A9-0A0B-4ED6-A107-0CB67E53EC6E}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\Nexon\Mabinogi\npkcmsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7693 bytes

Könntest du meine Frage zu der Combofixdatei noch beantworten?

lg myrtille

Hab die doch hochgeladen bei Easy-upload oder wie das da heisst. Guck doch auf meinen Post von gestenr Abend

Zitat:

YAY DANKE!! Erstmal gehen die Programme wieder!!!!!

Zweitens: Hier der Log

File-Upload.net - ComboFix.txt

Hi,

nein. Das logfile hatte ich durchaus gesehen. :) Es ging um das Popup nach dem öffnen des Logs.

Die Datei die dort hochladen solltest hieß etwa [4]-submit_datum-uhrzeit.zip.

Hast du die Datei hochgeladen? Sie ist dort bisher nicht angekommen, daher frag ich.

lg myrtille

Habe nirgendwo ein Log, das so heisst

Wurde nach deinem Scann mit combofix eine textdatei angezeigt? Wenn nein ist was schief gegangen!

Hi,

es geht nicht um eine Textdatei. ;)

Geh bitte in den Ordner C:\qoobox dort solltest du die zip-datei finden. Sowie eine html-Datei. Öffne bitte die html-datei und lade die zip-datei dort entsprechend den anweisungen hoch.

EDIT: Die Textdatei wurde angezeigt, du kannst sie dir auch anschauen, Lowyfur hat die Datei in Post 36 hochgeladen.

lg myrtille

So hier ist die ZIP. Eine HTML Datei habe ich jedoch in keinen Ordner dort gefunden....

File-Upload.net - -4--Submit_2008-09-27-21.15.zip

Hi,

danke, dann hat es jetzt doch noch seinen Bestimmungsort gefunden.
Du kannst die Datei damit bei file-upload wieder löschen. :)

Kannst du bitte folgenden Eintrag mit hijackthis fixen:

Zitat:

O2 - BHO: (no name) - {C1E5149F-A9E4-44C5-B4C8-05B78DAEAA0D} - C:\Dokumente und Einstellungen\Lowfyr\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1QJ4PA3\silent.dll[1].bak (file missing)

und danach ein neues Hijackthislog posten.

lg myrtille

So datei ist raus!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:22, on 29.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Wireless LAN Utility\Am772cfg.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Nexon\Mabinogi\npkcmsvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Opera\opera.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\ABC.COM

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\Programme\Download Manager\dlm.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: AM772CFG.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Programme\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://gunfighter.wildwestonline.com
O15 - Trusted Zone: http://www.wildwestonline.com
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.7.109.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7C5D062A-7A1E-4A46-A02B-A928084CBD66} (MLauncherNew Class) - http://legendofares.netgame.com/download/MusaLauncherNew.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C87ED6A9-0A0B-4ED6-A107-0CB67E53EC6E}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\Nexon\Mabinogi\npkcmsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7578 bytes

Hi,

dein Log sieht soweit ganz gut aus. Hast du noch Probleme?

Deinstallier bitte über Start->Systemsteuerung->Software alle installierten Javaversionen und lade dir danach, wenn nötig, die neueste Javaversion von Sun herunter.

lg myrtille