Trojaner-Board - PC fährt ständig runter, folgendes gefunden: Trojan.Clicker.Agent.N

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - PC fährt ständig runter, folgendes gefunden: Trojan.Clicker.Agent.N (https://www.trojaner-board.de/7731-pc-faehrt-staendig-runter-folgendes-gefunden-trojan-clicker-agent-n.html)

PC fährt ständig runter, folgendes gefunden: Trojan.Clicker.Agent.N

Hallo, ich habe folgendes Problem:

Der PC (WindowsXP) fährt ständig runter und läßt sich kaum mehr neu starten.
Seltsamerweise ist er jetzt schon eine Weile an, ohne auszugehen und beim Scannen mit 'bitdefender' habe ich folgendes gefunden:
C:\Programme\IntBar\rundlg32.dll infected: Trojan.Clicker.Agent.N
C:\Programme\IntBar\rundlg32.dll unable to disinfect

Die anderen Virenprogramme, die ich laufen gelassen habe, konnten nichts finden.

Kann mir jemand helfen?

Guckst Du mal hier: http://www.trojaner-board.de/42731-escan-anleitung.html

Die Anleitung gut durchlesen und dann ausführen. Hab den Tipp auch erst vor kurzem bekommen, meine Empfehlung!

@a.-hoffmann

mach doch mal ein scan mit Hijackthis
download http://www.trojaner-board.de/51130-a...ijackthis.html

poste dann bitte hier dein log im board

chaosman

HijackThis hatte ich als erstes probiert, hat aber nix gefunden.

Das Problem scheint aber gelöst. Habe die Datei, die bitdefender gefunden hatte gelöscht und später mit eScan noch 2 weitere infizierte Dateien gefunden, die ich ebenfalls gelöscht habe. Seitdem läuft der PC wieder.
Ich hoffe das bleibt auch so... :huepp:

Hallo,

ich habe ein ähnliches Problem, bei meinem PC öffnen sich etliche Fenster des Internetexplorers, Fenster um irgendwelche Programme zu instalieren usw.

Escan habe ich schon etliche Male durchlaufen lassen und auch Gdata Virenscanner. Die Dateien in Quarantäne verschoben und gelöscht und trotzdem sind sie immer wieder da.

Kann mir jemand helfen?

@dc2803

Lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier. Teile uns ausserdem mit was escan bei dir gefunden hat

Habe Hjack gerade durchlaufen lassen - soll ich das komplett Logfile posten?

Ja das komplette Hijackthis logfile

Das ist das Logfile von eben: Teil 1

Logfile of HijackThis v1.98.2
Scan saved at 19:43:44, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\golumm\services.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\WinRAR\WinRAR.exe

Teil 2 des Logile:

C:\DOKUME~1\Diana\LOKALE~1\Temp\Rar$EX08.766\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\i??r?.exe
O4 - HKCU\..\Run: [Isow] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe
O4 - HKCU\..\Run: [Vaxzg] C:\WINDOWS\System32\w?nlogon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com

und Teil 3:

O16 - DPF: v3cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {2ED9207B-BC4E-2F4A-B885-07E8685767EE} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {2EDA009D-29C5-1370-562C-412916FB6BAC} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {2FBDA9D8-09C4-3A57-0BA5-66CD27D747E9} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {301D548C-44A3-47B3-28C6-29C90C25F3DB} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {30723D58-9535-64D4-22F8-52D236FEFB27} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {30A5972C-C542-4A62-1856-73561F7EF340} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {331282AF-1B4E-7896-F7F7-52B43EA8108F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {335F900F-2782-0131-0CA8-1EAB6AC7FBA4} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {34A95F1E-0AAA-4822-5A5D-41352BD1F3D9} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {362ABE6D-CDD4-4CB8-6D22-3D79070326AC} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3689EF3E-0C68-0253-45DA-13171A05C93F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {36AFE24B-7F52-702D-CE86-5990096460E7} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {379AA7BF-5DF2-6003-DF32-237C5B83C04A} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {379AFCFA-7701-2075-DFCB-38515D04F6D7} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {38248B58-103F-07D5-9A39-65A1015B6372} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3828216D-B5C0-4CEF-BD0C-4107286C53CA} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {393F1A52-1D18-2423-F906-75214E0521C7} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {39810388-C8B0-2DA0-A0A0-7AA53A3277A7} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3BDDBC5B-1C26-2571-C91F-4BDC1EE613C3} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3DD5D499-7825-1806-4887-0BA42C1BB4D3} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3F156856-FA13-0EE5-3611-7730767A9B2E} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3FA71502-D169-58FE-59CC-37F65D07056D} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {3FD5E1B0-E898-4C4B-84B7-2B96655FEC4E} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {40DE8497-BCC1-2FCF-4035-1C4F7B53F996} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {41914443-11A4-50E0-A340-40552158F294} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {41B6CB77-10AA-1A99-D309-44CC4A6EBE6E} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {427D2027-93F5-0E47-B59F-2CEE3C516C25} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {432E1C21-4598-33F2-0340-07501D7F6092} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {4506A2AB-4816-7C38-A7A3-3A7F02D08C70} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {45B7BD76-5621-0D8D-6F9A-2B3E2AC9094E} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {46585AEF-BAD3-53C6-5BAD-4F782ED9D33D} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {47A9D1DE-8E07-7DF3-630C-203B7A9D7E94} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {48109E15-4978-2089-F95C-6C2574C0087F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {481A1308-5A4F-5A12-40C0-0F75645E76C6} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {48EE6E73-6E1D-550D-B035-1EDB59918A75} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {49A5FF22-95EA-664F-D74E-1C3432CB1B44} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {49DBA44E-CBA9-3396-4764-3C930FD61710} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {4AF2696C-0194-575D-91BA-4EE850126B97} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {4C977C3E-E696-4004-19BC-197817A87BE5} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {4D931A6B-46E8-79F7-95AF-4ECC3EE3F1F5} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {4F187F20-C4FD-1969-0E79-1CB844E0CE6B} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {4F7E0515-7043-76BD-F1C5-55A86B39D1CA} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {513BEAC1-F479-4099-8049-218939EAF44C} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {53E898E0-DDC9-7AA7-2481-1471791C27BC} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {552BFCDB-0CD1-09ED-48D6-638F18913FF7} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {55A6292C-9E52-4B7E-38AF-07797BD3AC4E} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {56AC94F5-78D8-1BA9-00C2-39732C9C4896} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {5729ACD7-1817-075E-B28A-31C53ABBACF1} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {58F96B54-10C3-648F-53E4-4B7846A91145} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {59DC3FBA-22B1-55B9-ED21-23FA622A6C12} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {5A880FD0-2183-10EF-D065-78D852090EEF} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {5C28B3F9-EB57-25D7-2460-7C8A4762DDB5} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {5DC95443-4F4C-073D-C848-387772A68063} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {609B6655-1845-3FC7-AA6B-5BD920BFEA23} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {62E6C93C-CB00-1BCA-3529-6E7816BB983D} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {6314130B-52FB-2286-0630-6A9B150ABB2F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {65681B50-D5BC-270B-E779-0FD1594D93E5} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {66D8A529-0931-52E8-4878-5DAF08677F2F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {67376B84-95B7-51C6-392D-37420E996F6B} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {683B4FB8-AFBE-04EB-E777-4F244551C1D9} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {68C48AD2-3DAF-6517-F40E-482212E3F6DE} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {6B3C3C82-E9E7-741E-C9FC-34861E4FE579} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {6BA10621-3B4C-7386-590B-28E231B056C0} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {6BA4FB4D-D4CF-3F3D-5066-3C2868DB5AE6} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {6E5794F1-5015-7419-7CF1-089F2454268F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {7026D2BE-C465-0A1F-0547-682F347D233F} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {749E4671-10E7-1D3E-B70F-4F686115668D} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {74CDD0B8-D3A2-0C88-C669-1D8D4F678F6A} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {75EF35BF-4212-63EA-4974-63DD41E016B5} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {76203357-F47C-059F-D71C-069621BB50C1} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {78742870-D0D6-0B6D-1817-00473B869462} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {78A7CD2F-1125-4D1E-3FD0-55DC0C09FC5E} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {7A683BF3-A581-718C-E9A2-68A83215E2DD} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {7A7C4808-1CA3-494A-0B43-59A56D42E512} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {7D8AA7E6-DD34-7F55-A283-565C6A012DFB} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {7DA404C0-3599-68E0-F319-3E9569870CB3} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {7F109F09-5888-1F91-A7E1-25E7502D26C0} - http://69.50.188.54/1/gdnUS208.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA76DA1E-6F1B-48F1-8E2E-DD1A7EACAB00}: NameServer = 205.188.146.146
O18 - Filter: text/html - {1873B3DD-929E-4A0E-AE69-5E8F3CAE89C1} - C:\WINDOWS\system32\nnkm.dll
O18 - Filter: text/plain - {1873B3DD-929E-4A0E-AE69-5E8F3CAE89C1} - C:\WINDOWS\system32\nnkm.dll

@dc2803
du hast einiges im system, fangen wir mit dem 2e teil an
wechsle in den abgesicherten modus und fixe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\i??r?.exe
O4 - HKCU\..\Run: [Isow] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe
O4 - HKCU\..\Run: [Vaxzg] C:\WINDOWS\System32\w?nlogon.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
fixe alle O 16 einträge
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA76DA1E-6F1B-48F1-8E2E-DD1A7EACAB00}: NameServer = 205.188.146.146
lösche folgendes manuell
C:\WINDOWS\System32\w?nlogon.exe
C:\WINDOWS\system32\golumm\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
C:\Programme\BullsEye Network\bin\bargains.exe

lasse folgende datei hier online überprüfen
http://www.kaspersky.com/de/remoteviruschk.html
C:\WINDOWS\system32\slserv.exe

neu starten, danach mit clearprog downloaden
http://www.clearprog.de/
und laufen lassen
dann mit HJT ein neuen scan machen und hier posten
mache dir mal gedanken über dein surfverhalten
benütze lieber den firefox
www.firefox-browser.de
chaosman

Sorry, aber ich bin wohl eher ein Laie - wie kriege ich den PC unter XP in den abgesicherten Modus und was verstehst Du unter "fixe die Datei"

@dc2803
http://www.trojaner-board.de/51130-a...ijackthis.html
hier bitte lesen
nach den scan häckchen setzen, und fix checked anklicken
chaosman

Neustart, F8,
LG, Charlie

Mein abendlicher Tipp
===
Running processes:
C:\WINDOWS\system32\golumm\services.exe
C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html <<< CoolWWWSearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html <<< CoolWWWSearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Diana\LOKALE~1\Temp\sp.html <<< CoolWWWSearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe <<< Zwei verschiedene Run-Namen !
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe <<<
O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\i??r?.exe <<< ???
O4 - HKCU\..\Run: [Isow] C:\Dokumente und Einstellungen\Diana\Anwendungsdaten\s?it.exe <<< ???
O4 - HKCU\..\Run: [Vaxzg] C:\WINDOWS\System32\w?nlogon.exe <<< ???

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v3cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {2ED9207B-BC4E-2F4A-B885-07E8685767EE} - http://69.50.188.54/1/gdnUS208.exe <<< dialer (!?)
[..]
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab <<< igitt

O18 - Filter: text/html - {1873B3DD-929E-4A0E-AE69-5E8F3CAE89C1} - C:\WINDOWS\system32\nnkm.dll <<< CoolWWWSearch
O18 - Filter: text/plain - {1873B3DD-929E-4A0E-AE69-5E8F3CAE89C1} - C:\WINDOWS\system32\nnkm.dll <<< CoolWWWSearch
=================

:: CoolWWWSearch
Koenntest Du vielleicht mal den "Suspicious File Locator" herunterladen
dann einmal den Rechner normal mit SCAN durchsuchen, und ein zweites mal mit rechter Maustaste auf den SCAN Button gehen fuer eine erweiterte Suche in den sogenannten ADS-Streams (siehe http://www.heise.de/security/artikel/52139).Sollte was gefunden werden, wird es Dir angezeigt und auf deinem Desktop wird eine Datei die "suspicious-files.cab" angelegt, die die verdaechtigen DLLs enthaelt. Ich wuerde mich freuen, wenn Du die Datei dann an detections@spybot.info per eMail schicken koennten, zur naehren Analyse

Suspicious File Locator
http://www.safer-networking.org/en/tools/index.html

:: Anwendungsdaten\i??r?.exe <<
Das hab ich schon neuerdings oefters in Logfiles gesehen, kann es aber nicht reproduzieren. Vielleicht kann mir jemand mal einen Hinweis geben. *steht auf den schlauch*

:: http://www.xxxtoolbar.com/ist/softw...006_regular.cab << es lebe die ISTBar ;(

.
.
.