was schlimmes eingefangen!

23Antworten
  1. #1
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard was schlimmes eingefangen!

    Hallo an Euch Profis
    mein Computer läuft extrem langsam ( CPU überlastet bei explorer.exe), ständig kommen irgendwelche hinweise auf einen Virus. Meine Internetexplorer Startseite wurde automatisch verändert ( und ändert sich bei jedem Neustart wieder zurück, obwohl ich ständig lösche). Ich habe drei Programme geladen bekommen ( von wem auch immer)"ErrorCleaner" "Privacy Protect" und einen Spyware,Malware Finder. Ich wollte dann einfach einen Systemwiederherstellungszeitpunkt finden wo noch alles OK war, doch es gibt keine mehr. Ich kann im Kalender gar nicht mehr zurückblättern.
    Nun gut jetzt habe ich Spybot Search & Destroy drüberlaufen lassen, und HijackThis.
    hier mein logfile:
    Logfile of HijackThis v1.99.1
    Scan saved at 15:25:16, on 13.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\explorer.exe
    C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - C:\WINDOWS\system32\xxyxUnnk.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: (no name) - {2A19F993-92A0-4018-B651-8B67B4EF1844} - C:\WINDOWS\system32\iifcBsrS.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\kbileslu.dll",b
    O4 - HKLM\..\RunOnce: [SpybotDeletingA8791] command /c del "C:\WINDOWS\system32smp\msrc.exe"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC776] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA3426] command /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC5999] cmd /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA826] command /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC7283] cmd /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\RunOnce: [SpybotDeletingB4771] command /c del "C:\WINDOWS\system32smp\msrc.exe"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4090] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB2053] command /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD3260] cmd /c del "C:\WINDOWS\system32\cbXNDUKA.dll_old"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB2932] command /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD6500] cmd /c del "C:\WINDOWS\system32\iifcBsrS.dll_old"
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
    O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O20 - Winlogon Notify: xxyxUnnk - C:\WINDOWS\SYSTEM32\xxyxUnnk.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
    O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

    kann mir jemand helfen?
    Trau mich nämlich momentan in kein Passwortgeschütztes Programm
    Danke im Vorraus
    Hiddenbayboy

  2. #2
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard Re: was schlimmes eingefangen!

    Hallöchen,

    Spybot hat da einige Dateien zum Löschen beim nächsten Neustart markiert. Hast du den Neustart denn mal ausgeführt? Wenn nicht, dann einfach mal machen und anschließend ein neues Logfile erstellen.

    Und beim Erstellen des Logfiles möglichst keine Programme geöffnet haben...

  3. #3
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    das ging ja schnell!!
    hier der nächste Versuch:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:25:31, on 13.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
    C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Picasa2\PicasaMediaDetector.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Programme\Microsoft IntelliPoint\ipoint.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\iPod\bin\iPodService.exe
    D:\Programme\Casio\Plauto.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\explorer.exe
    C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\kbileslu.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
    O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
    O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

    Spybot bringt immer noch Meldungen wo er alte und neue Dateien tauschen will
    soll ich die immer Erlauben?? ich glaube die wiederholen sich langsam auch (kann mich auch täuschen)

    mfg
    hiddenbayboy

  4. #4
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Hallo

    Spybot Teatimer diesen erstmal dauerhaft abstellen (Erweitert -> Werkzeuge -> Resident --> Häkchen bei Teatimer entfernen -> PC Neustart).

    Nun:

    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
    C:\WINDOWS\vnbptxlf.dll
    C:\WINDOWS\system32\kbileslu.dll
    C:\WINDOWS\qdnkewfa.dll
    C:\WINDOWS\mgsvflkw.dll

    Diese Datei/Dateien hier scannen lassen:
    https://www.virustotal.com/de
    Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier vollständig posten

    WindowsScan
    https://virus-protect.org/artikel/tools/windowsscan.html
    laden,
    ausführen, Report posten

    poste einen neuen HijackThis log

  5. #5
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    Hallo Humdinger
    Danke daß Du dich meiner Sorgen annimmst.
    Ich habe jetzt den ersten Teil meiner Aufgabe erfüllt (so gut es ging)
    diese tyzwjars datei hab ich nur unter Windows/Prefetch gefunden,
    und diese kbileslu.dll gibt es bei mir nicht !?
    alles andere hab ich mal jetzt gepostet ( blickst Du da wirklich durch?? RESPEKT ehrlich) für mich böhmische Dörfer.
    werde mich jetzt meiner zweiten Aufgabe widmen

    Danke
    viele Grüße
    Hiddenbayboy

    Datei TYZWJARS.EXE-337764FC.pf empfangen 2008.04.14 20:26:30 (CET)
    Status: Beendet
    Ergebnis: 0/32 (0%)
    Filter
    Drucken der Ergebnisse
    Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
    SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

    Email:



    AntivirusVersionletzte aktualisierungErgebnis
    AhnLab-V32008.4.15.02008.04.14-
    AntiVir7.6.0.852008.04.14-
    Authentium4.93.82008.04.13-
    Avast4.8.1169.02008.04.14-
    AVG7.5.0.5162008.04.14-
    BitDefender7.22008.04.14-
    CAT-QuickHeal9.502008.04.14-
    ClamAV0.92.12008.04.14-
    DrWeb4.44.0.091702008.04.14-
    eSafe7.0.15.02008.04.09-
    eTrust-Vet31.3.56972008.04.14-
    Ewido4.02008.04.14-
    F-Prot4.4.2.542008.04.14-
    F-Secure6.70.13260.02008.04.14-
    FileAdvisor12008.04.14-
    Fortinet3.14.0.02008.04.14-
    IkarusT3.1.1.262008.04.14-
    Kaspersky7.0.0.1252008.04.14-
    McAfee52732008.04.14-
    Microsoft1.34082008.04.14-
    NOD32v230252008.04.14-
    Norman5.80.022008.04.14-
    Panda9.0.0.42008.04.14-
    Prevx1V22008.04.14-
    Rising20.40.02.002008.04.14-
    Sophos4.28.02008.04.14-
    Sunbelt3.0.1041.02008.04.12-
    Symantec102008.04.14-
    TheHacker6.2.92.2772008.04.14-
    VBA323.12.6.42008.04.14-
    VirusBuster4.3.26:92008.04.14-
    Webwasher-Gateway6.6.22008.04.14-
    weitere Informationen
    File size: 32246 bytes
    MD5...: 56622f170b4f04952897c2bceb95b098
    SHA1..: 070336e2e9f8d36f1c7dd86bf57c93d1b4e9df6a
    SHA256: 162a0fa4704ca8e830bb2fa7aa542fe0f35071d5f82ff74dfc 3a3b07252017cc
    SHA512: b26155b864098ee8d7efbbb441544ac0a465da84a86a2f2f05 d6f2c99bfdf256
    41c92cf8857fc97cfd265cbf4d5a5d00484d8a46e9ad6c7d93 fecacd25b2308d
    PEiD..: -
    PEInfo: -


    Datei vnbptxlf.dll empfangen 2008.04.14 20:19:57 (CET)
    Status: Beendet
    Ergebnis: 12/32 (37.5%)
    Filter
    Drucken der Ergebnisse
    Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
    SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

    Email:



    AntivirusVersionletzte aktualisierungErgebnis
    AhnLab-V32008.4.15.02008.04.14-
    AntiVir7.6.0.852008.04.14ADSPY/AdSpy.Gen
    Authentium4.93.82008.04.13-
    Avast4.8.1169.02008.04.14Win32:Vapsup-BZ
    AVG7.5.0.5162008.04.14Downloader.Zlob.VQ
    BitDefender7.22008.04.14-
    CAT-QuickHeal9.502008.04.14-
    ClamAV0.92.12008.04.14-
    DrWeb4.44.0.091702008.04.14-
    eSafe7.0.15.02008.04.09-
    eTrust-Vet31.3.56972008.04.14-
    Ewido4.02008.04.14-
    F-Prot4.4.2.542008.04.14-
    F-Secure6.70.13260.02008.04.14-
    FileAdvisor12008.04.14-
    Fortinet3.14.0.02008.04.14-
    IkarusT3.1.1.26.02008.04.14AdWare.NetAdware.CW
    Kaspersky7.0.0.1252008.04.14not-a-virus:AdWare.Win32.Vapsup.dvd
    McAfee52732008.04.14AdClicker-FC
    Microsoft1.34082008.04.14Trojan:Win32/Zlob.AD
    NOD32v230252008.04.14-
    Norman5.80.022008.04.14W32/Vapsup.gen3
    Panda9.0.0.42008.04.14-
    Prevx1V22008.04.14Downloader.Zlob.VQ
    Rising20.40.02.002008.04.14Trojan.DL.Win32.Zlob.GEN
    Sophos4.28.02008.04.14-
    Sunbelt3.0.1041.02008.04.12-
    Symantec102008.04.14-
    TheHacker6.2.92.2772008.04.14-
    VBA323.12.6.42008.04.14suspected of Downloader.Zlob.7
    VirusBuster4.3.26:92008.04.14-
    Webwasher-Gateway6.6.22008.04.14Ad-Spyware.AdSpy.Gen
    weitere Informationen
    File size: 184320 bytes
    MD5...: cb0a12306fe8c2f38bab610b4287c187
    SHA1..: 51012ec1f42e3bbdb64bc4f0df37a5c9c4e0f8d7
    SHA256: e97d1bee0a4c9c64d301e45a30e3d0b47cfb54fbd0d7aecb85 989e33180b25fa
    SHA512: b007cad1fd1f9287a672064dd20bf91785f1f9c3b512a1fca6 0d6a639f9d6c25
    d8d8228a7edab61bb52b4b024ad7ce333aff0db00799f5df02 483ed4312b82f3
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x100121a9
    timedatestamp.....: 0x47ff8063 (Fri Apr 11 15:14:43 200
    machinetype.......: 0x14c (I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x1de29 0x1e000 6.51 e4225586e5382172273d8d2dcb62f6eb
    .rdata 0x1f000 0x6dc5 0x7000 5.34 1329ce8e867873ed335a2f49f04ce8bc
    .data 0x26000 0x3900 0x2000 3.69 a52e0ead743741e7dbe546c6e6462d0a
    .rsrc 0x2a000 0x1d20 0x2000 4.32 73d142f759411015f0c1c23f5edccdb1
    .reloc 0x2c000 0x276a 0x3000 4.32 3285ceb5f7304414a08aad735b7c8ec0

    ( 6 imports )
    > COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy
    > KERNEL32.dll: GetLastError, RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetModuleHandleW, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, lstrlenW, InterlockedIncrement, InitializeCriticalSection, DisableThreadLibraryCalls, GetModuleFileNameW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, ExitProcess, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW
    > USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW
    > ADVAPI32.dll: RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCloseKey, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW
    > ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
    > OLEAUT32.dll: -, -, -, -, -, -, -, -, -

    ( 4 exports )
    DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
    Prevx info: https://info.prevx.com/aboutprogramtext. ... 00C2B0C2BC


    Datei qdnkewfa.dll empfangen 2008.04.14 20:07:21 (CET)
    Status: Beendet
    Ergebnis: 9/32 (28.13%)
    Filter
    Drucken der Ergebnisse
    Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
    SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

    Email:



    AntivirusVersionletzte aktualisierungErgebnis
    AhnLab-V32008.4.15.02008.04.14-
    AntiVir7.6.0.852008.04.14ADSPY/Vapsup.dvd
    Authentium4.93.82008.04.13-
    Avast4.8.1169.02008.04.14-
    AVG7.5.0.5162008.04.14Downloader.Adload.FX
    BitDefender7.22008.04.14Trojan.Zlob.CIP
    CAT-QuickHeal9.502008.04.14-
    ClamAV0.92.12008.04.14-
    DrWeb4.44.0.091702008.04.14-
    eSafe7.0.15.02008.04.09-
    eTrust-Vet31.3.56972008.04.14-
    Ewido4.02008.04.14-
    F-Prot4.4.2.542008.04.14-
    F-Secure6.70.13260.02008.04.14-
    FileAdvisor12008.04.14-
    Fortinet3.14.0.02008.04.14-
    IkarusT3.1.1.26.02008.04.14Virus.Win32.Agent.LTS
    Kaspersky7.0.0.1252008.04.14not-a-virus:AdWare.Win32.Vapsup.dvd
    McAfee52732008.04.14-
    Microsoft1.34082008.04.14Trojan:Win32/Zlob.AI
    NOD32v230252008.04.14-
    Norman5.80.022008.04.14W32/Vapsup.CUK
    Panda9.0.0.42008.04.14-
    Prevx1V22008.04.14-
    Rising20.40.02.002008.04.14-
    Sophos4.28.02008.04.14-
    Sunbelt3.0.1041.02008.04.12-
    Symantec102008.04.14-
    TheHacker6.2.92.2772008.04.14-
    VBA323.12.6.42008.04.14suspected of Downloader.Zlob.7
    VirusBuster4.3.26:92008.04.14-
    Webwasher-Gateway6.6.22008.04.14Ad-Spyware.Vapsup.dvd
    weitere Informationen
    File size: 299008 bytes
    MD5...: eae3bb3a096441de25cf184cc6a54246
    SHA1..: db4e7ba9a574efdcdb9381f1601b46f5492c3efa
    SHA256: 41209d78e2cfd199568d8afeb9d43c149242a17b0d81ee27a7 aae472d5934b63
    SHA512: b821bd95af7ff33d2ed47d78572a9b0b94f9f798ca7b130a17 5b224b757925f1
    1aecfe620a7c729e48f8cf36aa3ea8e0a21bb5abeb151c413e de779b335a15d8
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1002f631
    timedatestamp.....: 0x47ff735d (Fri Apr 11 14:19:09 200
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x41b30 0x42000 6.42 7d21846c6ef0107b4dbfe4ee870127b6
    .data 0x43000 0x370c 0x2000 1.62 1b363147096e4e4058689647671a7a77
    .rsrc 0x47000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
    .reloc 0x48000 0x2e4a 0x3000 5.41 37995b76573f79be3e333011b9c80576

    ( 4 imports )
    > KERNEL32.dll: Sleep, CloseHandle, GetLastError, GetSystemTime, WaitForSingleObject, CreateEventW, MultiByteToWideChar, MoveFileW, GetModuleFileNameW, GetTempPathW, LoadLibraryW, SystemTimeToFileTime, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, SetFileTime, WriteFile, GetProcAddress, CopyFileW, FindFirstFileW, SetFilePointer, FindClose, SetEndOfFile, GetTimeZoneInformation, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, RaiseException, HeapFree, FileTimeToSystemTime, FileTimeToLocalFileTime, FindNextFileW, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, DebugBreak, LoadLibraryA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, HeapSize, FlushFileBuffers, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, FreeLibrary, VirtualQuery, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA
    > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
    > ole32.dll: CoInitialize
    > SHLWAPI.dll: SHDeleteKeyW

    ( 0 exports )

    Datei mgsvflkw.dll empfangen 2008.04.14 20:12:25 (CET)
    Status: Beendet
    Ergebnis: 11/32 (34.38%)
    Filter
    Drucken der Ergebnisse
    Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
    SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

    Email:



    AntivirusVersionletzte aktualisierungErgebnis
    AhnLab-V32008.4.15.02008.04.14-
    AntiVir7.6.0.852008.04.14ADSPY/Agent.PB
    Authentium4.93.82008.04.13-
    Avast4.8.1169.02008.04.14Win32:Agent-LTS
    AVG7.5.0.5162008.04.14Downloader.Adload.FU
    BitDefender7.22008.04.14Trojan.Zlob.CIP
    CAT-QuickHeal9.502008.04.14-
    ClamAV0.92.12008.04.14-
    DrWeb4.44.0.091702008.04.14-
    eSafe7.0.15.02008.04.09-
    eTrust-Vet31.3.56972008.04.14-
    Ewido4.02008.04.14-
    F-Prot4.4.2.542008.04.14-
    F-Secure6.70.13260.02008.04.14-
    FileAdvisor12008.04.14-
    Fortinet3.14.0.02008.04.14-
    IkarusT3.1.1.262008.04.14Virus.Win32.Agent.LTS
    Kaspersky7.0.0.1252008.04.14not-a-virus:AdWare.Win32.Vapsup.dvd
    McAfee52732008.04.14-
    Microsoft1.34082008.04.14Trojan:Win32/Zlob.AI
    NOD32v230252008.04.14-
    Norman5.80.022008.04.14W32/Vapsup.CUJ
    Panda9.0.0.42008.04.14-
    Prevx1V22008.04.14Generic.Malware
    Rising20.40.02.002008.04.14-
    Sophos4.28.02008.04.14-
    Sunbelt3.0.1041.02008.04.12-
    Symantec102008.04.14-
    TheHacker6.2.92.2772008.04.14-
    VBA323.12.6.42008.04.14suspected of Downloader.Zlob.7
    VirusBuster4.3.26:92008.04.14-
    Webwasher-Gateway6.6.22008.04.14Ad-Spyware.Agent.PB
    weitere Informationen
    File size: 262144 bytes
    MD5...: 3bb1bb84e04c5494c66fcbfa0eafcef7
    SHA1..: aeeb469b6bd8cfb264a0eb2206a74d78e09438a6
    SHA256: c5ebc1707b6252526063ca8cf39f3e926068559ef061f0e39d be9714027ff3ae
    SHA512: 38ae89e6e3c199c994e3ab2e6c95fcd6e3f5a056d6001c1184 62ef4b274ee0b9
    d90fac4592bba68a543da58acceb681e0074f6c23be9b90f3f e174efefc7b088
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x100118d6
    timedatestamp.....: 0x47ff7919 (Fri Apr 11 14:43:37 200
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x33608 0x34000 6.47 19525453051277004671fdf3b780bf60
    .data 0x35000 0x32a8 0x2000 2.59 dea96489a742ffe3dee862c4c5aa0937
    .rsrc 0x39000 0x51e0 0x6000 4.10 c635f01becc366a20c8be777155ed89e
    .reloc 0x3f000 0x24b0 0x3000 4.09 49abb82e9939182685618e2c99921c4b

    ( 5 imports )
    > KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA
    > USER32.dll: MessageBoxW, GetDesktopWindow, GetWindow
    > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
    > ole32.dll: CoInitialize
    > SHLWAPI.dll: SHDeleteKeyW

    ( 0 exports )
    Prevx info: https://info.prevx.com/aboutprogramtext. ... 003785C39D

  6. #6
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    zweite Aufgabe
    Windowsscan:
    Die 30 neuesten Dateien im Ordner Windows:

    ***** ***** ***** ***** *****
    ***** Scanning C:\WINDOWS *****
    ***** ***** ***** ***** *****

    14.04.2008 XxHPonnn.ini 20 46:21.921
    14.04.2008 XxHPonnn.ini2 20 44:19.018
    14.04.2008 wpa.dbl 19 46:2.422
    14.04.2008 lckfldservicelog.txt 19 45:4.160
    14.04.2008 glujynqv.exe 19 06:90.112
    14.04.2008 clkcnt.txt 18 40:0
    14.04.2008 nnnoPHxX.dll 18 40:273.408
    13.04.2008 llkkknpo.ini 22 17:90.005
    13.04.2008 sdhocqib.ini 22 16:708.567
    13.04.2008 llkkknpo.ini2 22 16:89.699
    13.04.2008 srojujil.exe 20 40:102.400
    13.04.2008 yupvejbb.dll 20 24:3.648
    13.04.2008 SrsBcfii.ini 15 08:85.784
    13.04.2008 SrsBcfii.ini2 15 07:85.947
    13.04.2008 ulselibk.ini 14 55:708.496
    13.04.2008 nksmdliu.dll 14 15:3.648
    13.04.2008 perfh009.dat 13 56:314.508
    13.04.2008 perfc009.dat 13 56:40.836
    13.04.2008 perfh007.dat 13 56:320.104
    13.04.2008 perfc007.dat 13 56:49.166
    13.04.2008 PerfStringBackup.INI 13 56:729.990
    12.04.2008 AKUDNXbc.ini 23 12:87.713
    12.04.2008 AKUDNXbc.ini2 23 09:87.713
    12.04.2008 crbxhqxk.ini 22 57:1.416.744
    12.04.2008 kxqhxbrc.dll 22 56:86.592
    12.04.2008 ipqmvxuc.dll 22 35:3.648
    12.04.2008 enexaomx.ini 22 29:708.603


    Die 50 neuesten Dateien im Ordner Windows\system32:

    ***** ***** ***** ***** *****
    ***** Scanning C:\WINDOWS\system32 *****
    ***** ***** ***** ***** *****

    14.04.2008 XxHPonnn.ini 20 49:24.303
    14.04.2008 XxHPonnn.ini2 20 48:24.319
    14.04.2008 wpa.dbl 19 46:2.422
    14.04.2008 lckfldservicelog.txt 19 45:4.160
    14.04.2008 glujynqv.exe 19 06:90.112
    14.04.2008 clkcnt.txt 18 40:0
    14.04.2008 nnnoPHxX.dll 18 40:273.408
    13.04.2008 llkkknpo.ini 22 17:90.005
    13.04.2008 sdhocqib.ini 22 16:708.567
    13.04.2008 llkkknpo.ini2 22 16:89.699
    13.04.2008 srojujil.exe 20 40:102.400
    13.04.2008 yupvejbb.dll 20 24:3.648
    13.04.2008 SrsBcfii.ini 15 08:85.784
    13.04.2008 SrsBcfii.ini2 15 07:85.947
    13.04.2008 ulselibk.ini 14 55:708.496
    13.04.2008 nksmdliu.dll 14 15:3.648
    13.04.2008 perfh009.dat 13 56:314.508
    13.04.2008 perfc009.dat 13 56:40.836
    13.04.2008 perfh007.dat 13 56:320.104
    13.04.2008 perfc007.dat 13 56:49.166
    13.04.2008 PerfStringBackup.INI 13 56:729.990
    12.04.2008 AKUDNXbc.ini 23 12:87.713
    12.04.2008 AKUDNXbc.ini2 23 09:87.713
    12.04.2008 crbxhqxk.ini 22 57:1.416.744
    12.04.2008 kxqhxbrc.dll 22 56:86.592
    12.04.2008 ipqmvxuc.dll 22 35:3.648
    12.04.2008 enexaomx.ini 22 29:708.603
    12.04.2008 dpggccwj.dll 02 07:3.648
    12.04.2008 xkvubexi.exe 01 10:94.208
    12.04.2008 xxyxUnnk.dll 01 10:39.936
    09.04.2008 FNTCACHE.DAT 13 48:399.144
    02.04.2008 jupdate-1.6.0_05-b13.log 19 21:6.583
    20.03.2008 win32k.sys 10 03:1.845.376
    03.03.2008 mslck.dat 21 44:0
    03.03.2008 Mlkf.dll 21 43:10
    03.03.2008 FldLckINSTALL.LOG 21 40:5.634
    01.03.2008 mshtml.dll 18 24:3.591.680
    01.03.2008 webcheck.dll 14 54:233.472
    01.03.2008 wininet.dll 14 54:826.368
    01.03.2008 pngfilt.dll 14 54:44.544
    01.03.2008 urlmon.dll 14 54:1.159.680
    01.03.2008 url.dll 14 54:105.984
    01.03.2008 occache.dll 14 54:102.912
    01.03.2008 msrating.dll 14 54:193.024
    01.03.2008 mstime.dll 14 54:671.232
    01.03.2008 mshtmled.dll 14 54:478.208
    01.03.2008 msfeedsbs.dll 14 53:52.224


    ***** ***** ***** ***** *****
    ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
    ***** ***** ***** ***** *****

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
    # für Windows 2000 verwendet wird.
    #
    # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
    # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
    # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
    # Hostnamen stehen.
    # Die IP-Adresse und der Hostname müssen durch mindestens ein
    # Leerzeichen getrennt sein.
    #
    # Zusätzliche Kommentare (so wie in dieser Datei) können in
    # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
    # aber müssen mit dem Zeichen '#' eingegeben werden.
    #
    # Zum Beispiel:
    #
    # 102.54.94.97 rhino.acme.com # Quellserver
    # 38.25.63.10 x.acme.com # x-Clienthost

    127.0.0.1 localhost



    ***** ***** ***** ***** *****
    ***** Scanning Processe *****
    ***** ***** ***** ***** *****




    Microsoft Windows XP [Version 5.1.2600]


    https://www.paules-pc-forum.de
    ***** Malware Team *****


    ***** Ende des Scans 14.04.2008 um 20:50:30,73 ***

    viele Grüße
    Hiddenbayboy

  7. #7
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    Hallo Humdinger
    habe meine letzte Aufgabe erfüllt
    hier mein Logfile:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:59:35, on 14.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
    C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Picasa2\PicasaMediaDetector.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Programme\Microsoft IntelliPoint\ipoint.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\WINDOWS\system32\srojujil.exe
    C:\Programme\iPod\bin\iPodService.exe
    D:\Programme\Casio\Plauto.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Microsoft Office\Office12\WINWORD.EXE
    C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\WINDOWS\explorer.exe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\biqcohds.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [vehgaaqi] C:\WINDOWS\system32\srojujil.exe
    O4 - HKCU\..\Run: [eolwnesq] C:\WINDOWS\system32\glujynqv.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
    O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
    O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

    hoffe es hat was gebracht
    viele Grüße
    Hiddenbayboy

  8. #8
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Hallo

    Alle Dateien anzeigen
    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
    "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
    ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
    aktivieren -> "OK"


    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe

    Diese bitte zur weiteren Analyse
    per Mail (möglichst als ZIP Datei) mit dem Betreff

    malware hiddenbayboy Dirks Computerforum
    schicken an:

    MalwareTEAM@t-online.de


    Ich melde mich dann morgen wieder wie es weiter geht. Bitte nun keine Scans mehr durchführen.

  9. #9
    Avatar von Fabi
    Fabi ist offline

    Title
    Moderator
    seit
    20.10.2006
    Ort
    Hessen
    Beiträge
    8.272

    Standard Re: was schlimmes eingefangen!

    Hallo,

    merkt eigentlich außer mir niemand, dass das hier wieder so ein Monster-Thread ist? Ich brauche ja Ewigkeiten, um ganz nach unten zu scrollen.

    Ich erwähne nun zum vierten Mal die zur Übersicht beitragenden
    Code:
    ...
    -Tags.

  10. #10
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    @Fabi
    Zitat Zitat von Fabi
    Hallo,

    merkt eigentlich außer mir niemand, dass das hier wieder so ein Monster-Thread ist? Ich brauche ja Ewigkeiten, um ganz nach unten zu scrollen.
    Monster? Bei 8 Beiträgen? Ist sicherlich übertrieben diese Anmerkung. Für eine effektive Reinigung ist es leider erforderlich die Übeltäter erstmal zu identifizieren. Erst nach der Analyse und der Kenntnis mit was hat man es zu tun, kann man auch eine Bereinigung versuchen. Mit dem vorhandenen Virenscanner wurde das ja schon vergeblich versucht und mit dem Hinweis im abgesicherten Modus zu scannen sollte man auch vorsichtig sein, da man auch dort nicht alle infizierten Dateien einfach löschen darf.

    Wenn man also hier der Meinung ist, lange Beiträge sind unerwünscht, so muss man dieses mir nur mitteilen, dann halte ich mich halt raus In der Kürze geht es halt meistens nicht wirklich gründlich. Damit ist das Forum schlecht bedient und dem User letztlich nicht geholfen.

    Zitat Zitat von Fabi
    Ich erwähne nun zum vierten Mal die zur Übersicht beitragenden
    Code:
    ...
    -Tags.
    Ich glaube dazu gibt es hier keine Verpflichtung. Persönlich finde ich es eher schlecht für die Auswertung, da ohne
    Code:
    ...
    es für mich übersichtlicher ist.

    Ich muss schon die meisten meiner Vorlagen für dieses Forum vor dem posten umgestalten, da diese nicht kompatibel sind mit der Forensoftware, da werde ich mir hier nicht weitere Hürden auferlegen. Ich bitte um Verständnis.

    @hiddenbayboy
    Danke für die übersandte Datei. Nach der Analyse werde ich mich dazu melden.

  11. #11
    Avatar von Fabi
    Fabi ist offline

    Title
    Moderator
    seit
    20.10.2006
    Ort
    Hessen
    Beiträge
    8.272

    Standard Re: was schlimmes eingefangen!

    Hallo,

    naja...wenn der Inhalt der
    Code:
    ...
    -Tags schwer zu lesen sein soll, dann weiß ich auch nicht... Schließlich kann man sich den Inhalt bei Bedarf kopieren und z.B. in MS Word lesen. Aber mach was du willst.

  12. #12
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Hallo

    öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll
    O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\biqcohds.dll",b
    O4 - HKCU\..\Run: [vehgaaqi] C:\WINDOWS\system32\srojujil.exe
    O4 - HKCU\..\Run: [eolwnesq] C:\WINDOWS\system32\glujynqv.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O21 - SSODL: qdnkewfa - {A12382A8-27F0-465F-8387-7143E4AAE3D1} - C:\WINDOWS\qdnkewfa.dll
    O21 - SSODL: mgsvflkw - {A8CE76A7-CBD7-4408-962B-0B02693022EA} - C:\WINDOWS\mgsvflkw.dll

    Avenger laden
    https://virus-protect.org/artikel/tools/avenger.html
    kopiere rein:

    Files to delete:
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
    C:\WINDOWS\system32\srojujil.exe
    C:\WINDOWS\vnbptxlf.dll
    C:\WINDOWS\system32\biqcohds.dll
    C:\WINDOWS\system32\srojujil.exe
    C:\WINDOWS\system32\glujynqv.exe
    C:\WINDOWS\qdnkewfa.dll
    C:\WINDOWS\mgsvflkw.dll
    C:\WINDOWS\vnbptxlf.dll

    Klicke die grüne Ampel
    das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

    **
    nach dem Neustart wird ein Log vom AVENGER erscheinen - poste es hier

    C:\avenger\backup.zip <-- nun direkt löschen

    CCleaner
    ausführen
    https://www.paules-pc-infothek.de/ppf2/v ... php?t=1138

    Kaspersky
    laden, scanne damit im abgesicherten Modus (bei Neustart F8 drücken)
    https://www.virus-protect.org/artikel/to ... ersky.html
    alle Funde löschen, nach Neustart Report hier posten.

    poste einen neuen HijackThis log

  13. #13
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    Hallo Humdinger
    ich habe jetzt das Löschen bei HijackThis gemacht. Das mit dem Avenger klappt so nicht.
    Wenn ich die Files laden will zeigt er mir in der Auswahl nur (.txt) Dateien an, exe und dll stehen nicht zur Auswahl.

    mfg
    hiddenbayboy

  14. #14
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Nehme dann statt Avenger dieses:

    https://virus-protect.org/artikel/tools/otmoveIt.html
    auf dem Desktop speichern!
    • OTMoveIt.exe klicken zum Starten.[/*:m:3tvfn9bh]
    • Unregister Dll's and Ocx's sollen markiert sein![/*:m:3tvfn9bh]
    • Folgende Dateien kopieren & in Paste List oft Files/Folders to be Moved rein!

      C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
      C:\WINDOWS\system32\srojujil.exe
      C:\WINDOWS\vnbptxlf.dll
      C:\WINDOWS\system32\biqcohds.dll
      C:\WINDOWS\system32\srojujil.exe
      C:\WINDOWS\system32\glujynqv.exe
      C:\WINDOWS\qdnkewfa.dll
      C:\WINDOWS\mgsvflkw.dll
      C:\WINDOWS\vnbptxlf.dll

      [/*:m:3tvfn9bh]
    • Movelt klicken zum Löschen.[/*:m:3tvfn9bh]
    • Lösche den Ordner C:\_OTMoveIt\ -->Papierkorb leeren[/*:m:3tvfn9bh]
    • Papierkorb leeren![/*:m:3tvfn9bh]
    #PC neustarten

    dann weiter wie beschrieben mit CCleaner und Kaspersky

  15. #15
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    Hallo Humdinger

    irgendetwas scheint bei mir (oder bei meinem Rechner) nicht ganz so einfach zu sein.
    Ich habe das mit dem OTMoveIt gemacht, aber er findet einige dateien nicht und zwar:
    C:\WINDOWS\vnbptxlf.dll
    C:\WINDOWS\system32\biqcohds.dll
    C:\WINDOWS\system32\srojujil.exe
    C:\WINDOWS\system32\glujynqv.exe
    C:\WINDOWS\qdnkewfa.dll
    C:\WINDOWS\mgsvflkw.dll
    C:\WINDOWS\vnbptxlf.dll
    eine war auch bei Dir doppelt aufgeführt wenn ich mich nicht täusche(C:\WINDOWS\system32\srojujil.exe)
    aber die komische tyzwjars.exe hat er zwar gemovt, doch die lässt sich nicht in den Papierkorb verschieben, weil sie anscheinend gerade benutzt wird ( schreibgeschützt ist sie nicht)
    ich habe Dir nochmal einen HiJack Log gemacht, auch auf die Gefahr hin, dass wir wieder angemotzt werden weil ich zu viel poste

    vielen Dank nochmal
    Grüße
    hiddenbayboy

    Logfile of HijackThis v1.99.1
    Scan saved at 00:03:52, on 16.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Picasa2\PicasaMediaDetector.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Programme\Microsoft IntelliPoint\ipoint.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    D:\Programme\Casio\Plauto.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\WINDOWS\explorer.exe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\nwushomf.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
    O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: mgsvflkw - {86C9EE65-CB40-45A1-B0A0-F713E9FE9824} - C:\WINDOWS\mgsvflkw.dll
    O21 - SSODL: qdnkewfa - {7B2FF58C-CEAC-4406-9C13-71B40F2DA2F4} - C:\WINDOWS\qdnkewfa.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

  16. #16
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    O4 - HKLM\..\Run: [c020a0eb] rundll32.exe "C:\WINDOWS\system32\nwushomf.dll",b

    Dann so weitermachen:

    Zitat Zitat von Humdinger

    CCleaner
    ausführen
    https://www.paules-pc-infothek.de/ppf2/v ... php?t=1138

    Kaspersky
    laden, scanne damit im abgesicherten Modus (bei Neustart F8 drücken)
    https://www.virus-protect.org/artikel/to ... ersky.html
    alle Funde löschen, nach Neustart Report hier posten.

    poste einen neuen HijackThis log

  17. #17
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    Hallo Humdinger
    habe alles ausgeführt
    hier der Report von Kaspersky
    Scan
    ----
    Scanned:629510
    Detected:15
    Untreated:0
    Start time:16.04.2008 20:04:54
    Duration:09:53:02
    Finish time:17.04.2008 05:57:56


    Detected
    --------
    StatusObject
    ------------
    will be deleted when the computer is restarted: adware not-a-virus:AdWare.Win32.Virtumonde.nqpFile: C:\WINDOWS\system32\xxyxUnnk.dll
    deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: c:\windows\mgsvflkw.dll
    deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: c:\windows\qdnkewfa.dll
    deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: c:\windows\temlxopqgdk.dll
    deleted: adware not-a-virus:AdWare.Win32.SmartPops.aFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\3F956A95.DLL//CryptFF
    deleted: adware not-a-virus:AdWare.Win32.NewDotNetFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6C1C7F4C.exe//CryptFF
    deleted: Trojan program Trojan-Dropper.MSPPoint.Agent.ayFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\{10CA79F7-485A-4BE5-8BE2-311A7FA949B6}\00000003.URM
    deleted: Trojan program Trojan.Win32.Obfuscated.xvFile: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.zip/tyzwjars.exe
    deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: C:\WINDOWS\apoxqwfv.exe
    deleted: adware not-a-virus:AdWare.Win32.Vapsup.dvdFile: C:\WINDOWS\vnbptxlf.dll
    deleted: Trojan program Trojan.Win32.KillAV.rfFile: C:\WINDOWS\system32\dfqbtbrc.dll
    deleted: adware not-a-virus:AdWare.Win32.Virtumonde.nvfFile: C:\WINDOWS\system32\kvfycgbs.dll//PE_Patch
    deleted: Trojan program Trojan.Win32.KillAV.rfFile: C:\WINDOWS\system32\nksmdliu.dll
    deleted: Trojan program Trojan.Win32.KillAV.rfFile: C:\WINDOWS\system32\yupvejbb.dll
    deleted: Trojan program Trojan.Win32.Obfuscated.xvFile: C:\_OTMoveIt\MovedFiles\04152008_233934\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe


    Events
    ------
    TimeNameStatusReason
    --------------------


    Statistics
    ----------
    ObjectScannedDetectedUntreatedDeletedMoved to QuarantineArchivesPacked filesPassword protectedCorrupted
    -------------------------------------------------------------------------------------------------------


    Settings
    --------
    ParameterValue
    --------------
    Security LevelRecommended
    ActionPrompt for action when the scan is complete
    Run modeManually
    File typesScan all files
    Scan only new and changed filesNo
    Scan archivesAll
    Scan embedded OLE objectsAll
    Skip if object is larger thanNo
    Skip if scan takes longer thanNo
    Parse email formatsNo
    Scan password-protected archivesNo
    Enable iChecker technologyNo
    Enable iSwift technologyNo
    Show detected threats on "Detected" tabYes


    Quarantine
    ----------
    StatusObjectSizeAdded
    ---------------------


    Backup
    ------
    StatusObjectSize
    ----------------

    und hier mein Hijack:
    Logfile of HijackThis v1.99.1
    Scan saved at 06:14:35, on 17.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Picasa2\PicasaMediaDetector.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Programme\Microsoft IntelliPoint\ipoint.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    D:\Programme\Casio\Plauto.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.e xe
    C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
    O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: setup_7.0.0.180_16.04.2008_19-42 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r (file missing)
    O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

    viele Grüße
    hiddenbayboy

  18. #18
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Hallo

    Gut gemacht!

    Leider ist noch was drauf.

    Boote in den abgesicherten Modus, lösche erstmal das Kaspersky Tool nun direkt.

    öffne nun im abgesicherten Modus das HijackThis -- Button "scan" -- vor diesen Eintrag ein Häkchen setzen -- Button "Fix checked" -- PC neustarten

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://softwarereferral.com/jump.php?wm ... Ojg5&lid=2

    Nach dem Neustart:


    Malwarebytes

    https://www.virus-protect.org/artikel/to ... bytes.html
    anwenden, alle Funde löschen lassen + Report posten

    CCleaner nochmal laufen lassen zum bereinigen
    https://www.paules-pc-infothek.de/ppf2/v ... php?t=1138

    ComboFix ausführen:
    https://virus-protect.org/artikel/tools/combofix.html
    auf dem Desktop speichern.
    Beende nun dein Antiviren- & evtl. Antispywareprogramme <-- !!!!
    Doppelklick auf: combofix.exe
    Warnmeldung ignorieren
    Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.
    Die Datenträgerbereinigung abwarten / kein Mausklick machen! (bis ca. 20 Min/ Neustart kann erfolgen)
    mit der rechten Maustaste den Text markieren -> kopieren -> vollständig posten

  19. #19
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    Hallo Humdinger
    hat wieder alles super geklappt ( perfekt erklärt)
    fühle mich langsam auch schon besser
    hier meine files
    malwarebytes:
    Malwarebytes' Anti-Malware 1.11
    Datenbank Version: 642

    Scan Art: Komplett Scan (C:\|D:\|)
    Objekte gescannt: 92910
    Scan Dauer: 1 hour(s), 28 minute(s), 58 second(s)

    Infizierte Speicher Prozesse: 0
    Infizierte Speicher Module: 3
    Infizierte Registrierungsschlüssel: 21
    Infizierte Registrierungswerte: 3
    Infizierte Datei Objekte der Registrierung: 2
    Infizierte Verzeichnisse: 1
    Infizierte Dateien: 48

    Infizierte Speicher Prozesse:
    (Keine Malware Objekte gefunden)

    Infizierte Speicher Module:
    c:\WINDOWS\system32\xxyxUnnk.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\albwiwdi.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\nnnoPHxX.dll (Trojan.Vundo) -> Unloaded module successfully.

    Infizierte Registrierungsschlüssel:
    HKEY_CLASSES_ROOT\CLSID\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxunnk (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{a6d8e6f9-cc5b-46d2-b447-fc35bb755bf7} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{a6d8e6f9-cc5b-46d2-b447-fc35bb755bf7} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorertoolbar (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Delete on reboot.
    HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\vnbptxlf.bvot (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\vnbptxlf.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\MSVPS.MSVPSApp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> Quarantined and deleted successfully.

    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\c020a0eb (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

    Infizierte Datei Objekte der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnophxx -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnophxx -> Delete on reboot.

    Infizierte Verzeichnisse:
    C:\Dokumente und Einstellungen\Andreas\Desktopvirii (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

    Infizierte Dateien:
    c:\WINDOWS\system32\xxyxUnnk.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\albwiwdi.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\idwiwbla.ini (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\kxqhxbrc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\crbxhqxk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\nnnoPHxX.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\XxHPonnn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\XxHPonnn.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\nwushomf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\fmohsuwn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FSWV5B8U\kriv[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0145529.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0145530.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0146808.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0146907.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147499.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147501.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147502.dll (Trojan.AVKiller) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{79C3676E-091E-4231-9B5E-ED949CCDB026}\RP300\A0147503.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\glujynqv.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\xkvubexi.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\_OTMoveIt\MovedFiles\04152008_233934\WINDOWS\sy stem32\srojujil.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.bl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.p.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.r.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.t.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopvirii\Trojan-Downloader.Win32.Agent.v.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32bdn.com (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32hxiwlgpm.dat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32ssvchost.com (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32taack.dat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32VBIEWER.OCX (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopblackbird.jpg (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\DesktopEditorFKWP1.5.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\DesktopEditorFKWP2.0.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopfilemanagerclient.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopfkwp1.5.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopfkwp2.0.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\Desktopfwebd.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\DesktopFWebdEditor.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Andreas\DesktopTrojan.Win32.BlackBir d.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\extra\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Anja\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
    --------------------------------------------------------------------------------------------------------------------
    combofix:
    ComboFix 08-04-16.5 - Anja 2008-04-17 21:58:26.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.627 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\Anja\Desktop\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    (((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\Downloaded Program Files\setup.inf
    C:\WINDOWS\system32\AKUDNXbc.ini
    C:\WINDOWS\system32\AKUDNXbc.ini2
    C:\WINDOWS\system32\albwiwdi.dll
    C:\WINDOWS\system32\enexaomx.ini
    C:\WINDOWS\system32\idwiwbla.ini
    C:\WINDOWS\system32\llkkknpo.ini
    C:\WINDOWS\system32\llkkknpo.ini2
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\Mlkf.dll
    C:\WINDOWS\system32\nnnoPHxX.dll
    C:\WINDOWS\system32\sbgcyfvk.ini
    C:\WINDOWS\system32\sdhocqib.ini
    C:\WINDOWS\system32\SrsBcfii.ini
    C:\WINDOWS\system32\SrsBcfii.ini2
    C:\WINDOWS\system32\ulselibk.ini
    C:\WINDOWS\system32\XxHPonnn.ini
    C:\WINDOWS\system32\XxHPonnn.ini2
    C:\WINDOWS\system32\xxyxUnnk.dll

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-03-17 bis 2008-04-17 ))))))))))))))))))))))))))))))
    .

    2008-04-17 19:24 . 2008-04-17 19:24<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Malwarebytes
    2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Programme\Malwarebytes' Anti-Malware
    2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2008-04-16 19:58 . 2008-04-17 22:04284,704--ahs----C:\WINDOWS\system32\drivers\fidbox.dat
    2008-04-16 19:58 . 2008-04-17 22:025,432--ahs----C:\WINDOWS\system32\drivers\fidbox.idx
    2008-04-16 19:56 . 2008-04-16 19:56<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
    2008-04-16 19:37 . 2008-04-16 19:37<DIR>d--------C:\Programme\Yahoo!
    2008-04-15 23:12 . 2008-04-15 23:12<DIR>d--------C:\_OTMoveIt
    2008-04-15 23:02 . 2008-04-15 23:021,602,593---hs----C:\WINDOWS\system32\rhnjblqh.ini
    2008-04-13 15:05 . 2008-04-13 22:21375--a------C:\WINDOWS\wininit.ini
    2008-04-13 14:04 . 2008-04-13 21:28<DIR>d--------C:\Programme\Spybot - Search & Destroy
    2008-04-13 14:04 . 2008-04-14 18:41<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-04-12 22:35 . 2008-04-12 22:353,648--a------C:\WINDOWS\system32\ipqmvxuc.dll
    2008-04-12 20:26 . 2008-04-16 20:00<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\TmpRecentIcons
    2008-04-12 20:02 . 2008-04-12 20:02<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\TmpRecentIcons
    2008-04-12 20:00 . 2008-04-12 20:01<DIR>dr-------C:\Dokumente und Einstellungen\extra\Eigene Dateien
    2008-04-12 19:59 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Vorlagen
    2008-04-12 19:59 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\extra\Startmen
    2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Netzwerkumgebung
    2008-04-12 19:59 . 2008-04-17 22:00<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Lokale Einstellungen
    2008-04-12 19:59 . 2008-04-13 15:09<DIR>dr-------C:\Dokumente und Einstellungen\extra\Favoriten
    2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Druckumgebung
    2008-04-12 19:59 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\Apple Computer
    2008-04-12 19:59 . 2008-04-12 20:24<DIR>dr-h-----C:\Dokumente und Einstellungen\extra\Anwendungsdaten
    2008-04-12 19:59 . 2008-04-12 20:00<DIR>d--------C:\Dokumente und Einstellungen\extra
    2008-04-12 09:18 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Vorlagen
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\Administrator\Startmen
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
    2008-04-12 09:18 . 2008-04-17 22:00<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Favoriten
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Druckumgebung
    2008-04-12 09:18 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
    2008-04-12 09:18 . 2008-02-24 21:07<DIR>dr-h-----C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
    2008-04-12 09:18 . 2008-04-12 09:18<DIR>d--------C:\Dokumente und Einstellungen\Administrator
    2008-04-12 02:07 . 2008-04-12 02:073,648--a------C:\WINDOWS\system32\dpggccwj.dll
    2008-04-12 01:10 . 2008-04-15 23:39<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
    .
    2008-04-17 20:05---------d-----wC:\Programme\Gemeinsame Dateien\Symantec Shared
    2008-04-13 11:29---------d-----wC:\Programme\Google
    2008-04-10 04:30---------d-----wC:\Programme\a-squared Free
    2008-04-08 16:28---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
    2008-04-07 16:5494,208----a-wC:\WINDOWS\DUMPedff.tmp
    2008-04-02 17:21---------d-----wC:\Programme\Java
    2008-03-20 08:031,845,376----a-wC:\WINDOWS\system32\win32k.sys
    2008-03-06 20:32706----a-wC:\WINDOWS\system32\drivers\COH_Mon.inf
    2008-03-06 20:3223,904----a-wC:\WINDOWS\system32\drivers\COH_Mon.sys
    2008-03-06 20:3210,537----a-wC:\WINDOWS\system32\drivers\COH_Mon.cat
    2008-03-03 19:42---------d-----wC:\Programme\FolderAccess
    2008-03-01 19:07---------d-----wC:\Programme\QuickTime
    2008-03-01 12:54826,368----a-wC:\WINDOWS\system32\wininet.dll
    2008-02-24 18:27---------d-----wC:\Programme\Picasa2
    2008-02-24 18:08---------d-----wC:\Programme\iTunes
    2008-02-24 18:08---------d-----wC:\Programme\iPod
    2008-02-24 18:07---------d-----wC:\Programme\Bonjour
    2008-02-24 18:07---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
    2008-02-24 18:03---------d-----wC:\Programme\Apple Software Update
    2008-02-24 18:02---------d-----wC:\Programme\Gemeinsame Dateien\Apple
    2008-02-24 18:02---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
    2008-02-20 06:50282,624----a-wC:\WINDOWS\system32\gdi32.dll
    2008-02-20 05:3345,568----a-wC:\WINDOWS\system32\dnsrslvr.dll
    .

    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2A19F993-92A0-4018-B651-8B67B4EF1844}]
    C:\WINDOWS\system32\iifcBsrS.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBE9B725-4F74-430A-A475-ED52B0DB77D6}]
    C:\WINDOWS\system32\opnkkkll.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
    "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
    "swg"="C:\Programme\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2007-07-27 19:35 68856]
    "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    "CTSysVol"="C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]
    "UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 12:50 155648]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
    "nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2006-10-22 13:22 86016]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 5\bin\jusched.exe" [2008-02-22 04:25 144784]
    "PDUiP6600DMon"="C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe" [2005-05-25 10:35 69632]
    "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
    "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
    "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
    "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetecto r.exe" [2007-06-16 01:15 366400]
    "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
    "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2001-08-27 15:44 1838592]
    "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 01:52 849280]
    "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
    "Cmaudio"="cmicnfg.cpl" []
    "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-02 19:27 185896]
    "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-02-19 14:10 267048]
    "Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
    "AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" [ ]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer\run]
    "WiH7LajRFL"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~ 1.DLL

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\WINDOWS\\system32\\mmc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
    "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "C:\\Programme\\Bonjour\\mDNSResponder.exe"=
    "C:\\Programme\\iTunes\\iTunes.exe"=

    R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2002-02-13 13:18]
    R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSch edulerSvc.exe" [2007-09-26 11:53]
    R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmpor t.sys [2001-10-23 00:00]
    R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 02:00]
    R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 03:00]
    R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 02:00]
    R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 03:00]
    R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2002-02-13 13:18]
    S2 setup_7.0.0.180_16.04.2008_19-42;setup_7.0.0.180_16.04.2008_19-42;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r []

    *Newly Created Service* - COMHOST
    .
    Inhalt des "geplante Tasks" Ordners
    "2008-02-24 18:03:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Programme\Apple Software Update\SoftwareUpdate.exe
    .
    ************************************************** ************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, https://www.gmer.net
    Rootkit scan 2008-04-17 22:05:38
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostart Eintr„ge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    ************************************************** ************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTSVCCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    D:\Programme\Casio\Plauto.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\imapi.exe
    .
    ************************************************** ************************
    .
    Zeit der Fertigstellung: 2008-04-17 22:11:51 - machine was rebooted [Anja]
    ComboFix-quarantined-files.txt 2008-04-17 20:11:30

    10 Verzeichnis(se), 19,507,855,360 Bytes frei
    13 Verzeichnis(se), 19,428,413,440 Bytes frei
    .
    2008-04-09 04:42:54--- E O F ---


    viele Grüße
    hiddenbayboy

  20. #20
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Hallo

    Start-ausführen-tippe: notepad
    --> Ok drücken

    kopiere rein (ohne das Wort Code, nur das grüne, scrolle auch etwas runter):
    Code:
    KILLALL:: 
    Registry:: 
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2A19F993-92A0-4018-B651-8B67B4EF1844}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBE9B725-4F74-430A-A475-ED52B0DB77D6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
    "WiH7LajRFL"=-
    File:: 
    C:\WINDOWS\system32\dpggccwj.dll
    C:\WINDOWS\system32\iifcBsrS.dll
    C:\WINDOWS\system32\opnkkkll.dll
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
    Folder:: 
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo
    Speichere die Datei als cfscript.txt (all files/alle Dateien) auf dem Desktop
    boote in den abgesicherten Modus

    cfscript.txt nun im abgesicherten Modus mit der rechten Maustaste auf das Symbol von Combofix ziehen
    https://www.kabusoft.de/paules-upload...2/cfscript.gif

    Combofix nun direkt nochmal ausführen im abgesicherten Modus - tippe 1

    Nach Neustart in den Normalmodus:

    ComboFix nun entfernen:
    Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

    CounterSpy installieren, update, boote in den abgesicherten Modus, Starte CounterSpy, voller Scan, wähle immer REMOVE
    https://www.paules-pc-infothek.de/ppf2/v ... php?t=1201
    Nach Neustart poste den Report hier

    Scanreport finden:
    klicke : View details

    diesen Report kann man abkopieren: [mit der linken Maus-Taste über den Text fahren -> rechte Maustaste -> kopieren -> hier im Thread -> rechte Maustaste -> einfügen]

    Scanne Online mit Bitdefender
    https://www.bitdefender.com/scan8/ie.html
    Internetexplorer (auf I agree klicken / active x zulassen)
    Report posten

    Ändere nun alle wichtigen Passwörter

    poste einen neuen HijackThis log

  21. #21
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    hallo humdinger
    alles erledigt
    hier meine posts

    ComboFix 08-04-16.5 - Anja 2008-04-18 20:29:08.2 - NTFSx86 MINIMAL
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.823 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\Anja\Desktop\ComboFix.exe
    Command switches used :: C:\Dokumente und Einstellungen\Anja\Desktop\cfscript.txt

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    FILE ::
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.exe
    C:\WINDOWS\system32\dpggccwj.dll
    C:\WINDOWS\system32\iifcBsrS.dll
    C:\WINDOWS\system32\opnkkkll.dll
    .

    (((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\taxedypo\tyzwjars.zip
    C:\WINDOWS\system32\dpggccwj.dll

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-03-18 bis 2008-04-18 ))))))))))))))))))))))))))))))
    .

    2008-04-17 19:24 . 2008-04-17 19:24<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Malwarebytes
    2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Programme\Malwarebytes' Anti-Malware
    2008-04-17 19:23 . 2008-04-17 19:23<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2008-04-16 19:58 . 2008-04-18 20:36505,888--ahs----C:\WINDOWS\system32\drivers\fidbox.dat
    2008-04-16 19:58 . 2008-04-18 20:267,976--ahs----C:\WINDOWS\system32\drivers\fidbox.idx
    2008-04-16 19:56 . 2008-04-16 19:56<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
    2008-04-16 19:37 . 2008-04-16 19:37<DIR>d--------C:\Programme\Yahoo!
    2008-04-15 23:12 . 2008-04-15 23:12<DIR>d--------C:\_OTMoveIt
    2008-04-15 23:02 . 2008-04-15 23:021,602,593---hs----C:\WINDOWS\system32\rhnjblqh.ini
    2008-04-13 15:05 . 2008-04-13 22:21375--a------C:\WINDOWS\wininit.ini
    2008-04-13 14:04 . 2008-04-13 21:28<DIR>d--------C:\Programme\Spybot - Search & Destroy
    2008-04-13 14:04 . 2008-04-14 18:41<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-04-12 22:35 . 2008-04-12 22:353,648--a------C:\WINDOWS\system32\ipqmvxuc.dll
    2008-04-12 20:26 . 2008-04-16 20:00<DIR>d--------C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\TmpRecentIcons
    2008-04-12 20:02 . 2008-04-12 20:02<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\TmpRecentIcons
    2008-04-12 20:00 . 2008-04-12 20:01<DIR>dr-------C:\Dokumente und Einstellungen\extra\Eigene Dateien
    2008-04-12 19:59 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Vorlagen
    2008-04-12 19:59 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\extra\Startmen
    2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Netzwerkumgebung
    2008-04-12 19:59 . 2008-04-17 22:11<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Lokale Einstellungen
    2008-04-12 19:59 . 2008-04-13 15:09<DIR>dr-------C:\Dokumente und Einstellungen\extra\Favoriten
    2008-04-12 19:59 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\extra\Druckumgebung
    2008-04-12 19:59 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\extra\Anwendungsdaten\Apple Computer
    2008-04-12 19:59 . 2008-04-12 20:24<DIR>dr-h-----C:\Dokumente und Einstellungen\extra\Anwendungsdaten
    2008-04-12 19:59 . 2008-04-12 20:00<DIR>d--------C:\Dokumente und Einstellungen\extra
    2008-04-12 09:18 . 2006-12-15 19:36<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Vorlagen
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>dr-------C:\Dokumente und Einstellungen\Administrator\Startmen
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
    2008-04-12 09:18 . 2008-04-17 22:11<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Favoriten
    2008-04-12 09:18 . 2006-12-15 19:25<DIR>d--h-----C:\Dokumente und Einstellungen\Administrator\Druckumgebung
    2008-04-12 09:18 . 2008-02-24 21:07<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
    2008-04-12 09:18 . 2008-02-24 21:07<DIR>dr-h-----C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
    2008-04-12 09:18 . 2008-04-12 09:18<DIR>d--------C:\Dokumente und Einstellungen\Administrator

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
    .
    2008-04-17 20:08---------d-----wC:\Programme\Gemeinsame Dateien\Symantec Shared
    2008-04-13 11:29---------d-----wC:\Programme\Google
    2008-04-10 04:30---------d-----wC:\Programme\a-squared Free
    2008-04-08 16:28---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
    2008-04-07 16:5494,208----a-wC:\WINDOWS\DUMPedff.tmp
    2008-04-02 17:21---------d-----wC:\Programme\Java
    2008-03-20 08:031,845,376----a-wC:\WINDOWS\system32\win32k.sys
    2008-03-06 20:32706----a-wC:\WINDOWS\system32\drivers\COH_Mon.inf
    2008-03-06 20:3223,904----a-wC:\WINDOWS\system32\drivers\COH_Mon.sys
    2008-03-06 20:3210,537----a-wC:\WINDOWS\system32\drivers\COH_Mon.cat
    2008-03-03 19:42---------d-----wC:\Programme\FolderAccess
    2008-03-01 19:07---------d-----wC:\Programme\QuickTime
    2008-03-01 12:54826,368----a-wC:\WINDOWS\system32\wininet.dll
    2008-02-24 18:27---------d-----wC:\Programme\Picasa2
    2008-02-24 18:08---------d-----wC:\Programme\iTunes
    2008-02-24 18:08---------d-----wC:\Programme\iPod
    2008-02-24 18:07---------d-----wC:\Programme\Bonjour
    2008-02-24 18:07---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
    2008-02-24 18:03---------d-----wC:\Programme\Apple Software Update
    2008-02-24 18:02---------d-----wC:\Programme\Gemeinsame Dateien\Apple
    2008-02-24 18:02---------d-----wC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
    2008-02-20 06:50282,624----a-wC:\WINDOWS\system32\gdi32.dll
    2008-02-20 05:3345,568----a-wC:\WINDOWS\system32\dnsrslvr.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-04-17_22.11.00.89 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-04-17 20:03:582,048--s-a-wC:\WINDOWS\bootstat.dat
    + 2008-04-18 18:32:482,048--s-a-wC:\WINDOWS\bootstat.dat
    .
    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
    "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
    "swg"="C:\Programme\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2007-07-27 19:35 68856]
    "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    "CTSysVol"="C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 11:43 57344]
    "UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 12:50 155648]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480]
    "nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2006-10-22 13:22 86016]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 5\bin\jusched.exe" [2008-02-22 04:25 144784]
    "PDUiP6600DMon"="C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe" [2005-05-25 10:35 69632]
    "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
    "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
    "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
    "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetecto r.exe" [2007-06-16 01:15 366400]
    "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
    "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2001-08-27 15:44 1838592]
    "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 01:52 849280]
    "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
    "Cmaudio"="cmicnfg.cpl" []
    "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-02 19:27 185896]
    "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.e xe" [2008-02-19 14:10 267048]
    "Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
    "AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" [ ]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~2\GOEC62~ 1.DLL

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\WINDOWS\\system32\\mmc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
    "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "C:\\Programme\\Bonjour\\mDNSResponder.exe"=
    "C:\\Programme\\iTunes\\iTunes.exe"=

    R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2002-02-13 13:18]
    R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSch edulerSvc.exe" [2007-09-26 11:53]
    R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmpor t.sys [2001-10-23 00:00]
    R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 02:00]
    R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 03:00]
    R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 02:00]
    R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 03:00]
    R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2002-02-13 13:18]
    S2 setup_7.0.0.180_16.04.2008_19-42;setup_7.0.0.180_16.04.2008_19-42;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r []

    *Newly Created Service* - COMHOST
    .
    Inhalt des "geplante Tasks" Ordners
    "2008-02-24 18:03:56 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Programme\Apple Software Update\SoftwareUpdate.exe
    .
    ************************************************** ************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, https://www.gmer.net
    Rootkit scan 2008-04-18 20:35:15
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostart Eintr„ge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    ************************************************** ************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTSVCCDA.EXE
    C:\WINDOWS\system32\LckFldService.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Programme\iPod\bin\iPodService.exe
    D:\Programme\Casio\Plauto.exe
    .
    ************************************************** ************************
    .
    Zeit der Fertigstellung: 2008-04-18 20:44:32 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-04-18 18:44:23
    ComboFix2.txt 2008-04-17 20:11:53

    10 Verzeichnis(se), 20,523,991,040 Bytes frei
    13 Verzeichnis(se), 19,434,975,232 Bytes frei
    .
    2008-04-09 04:42:54--- E O F --- ---------------------------------------------------------------------------------------
    Counterspy
    Scan History Details
    Start Date: 18.04.2008 21:37:19
    End Date: 18.04.2008 22:50:13
    Total Time: 72 Min 54 Sec
    Detected security risks

    KaZaA P2P Program more information...
    Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
    Status: Deleted

    Registry entries detected
    HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\KAZAA
    HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\KAZAA\LocalContent


    CWS.DesktopHijack Adware (General) more information...
    Details: CWS.DesktopHijack hijacks the Internet Explorer home page and search page, installs a toolbar, and hijacks the desktop to display deceptive ads for rogue security products.
    Status: Deleted

    Registry entries detected
    HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\MICROSOFT\INTERNET EXPLORER\DESKTOP\GENERAL


    Bifrost Backdoor more information...
    Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
    Status: Deleted

    Registry entries detected
    HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\WGET


    Cookie: Tracking Cookies Cookie (General) more information...
    Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
    Status: Deleted

    Cookies detected
    c:\dokumente und einstellungen\andreas\cookies\andreas@888[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@ad.yieldmana ger[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@adriver[2].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@ads.pointrol l[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@amazon[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@amazon[2].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@apmebf[2].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@atdmt[2].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@doubleclick[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@emjcd[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@geo[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@geocities[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@go[2].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@impresionesw eb[2].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@list[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@mediaplex[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@overture[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@partygaming. 122.2o7[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@partypoker[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@revsci[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@sextracker[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@statcounter[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@www.miniclip[1].txt
    c:\dokumente und einstellungen\andreas\cookies\andreas@xiti[1].txt
    BitDefender Online Scanner
    Scan report generated at: Sat, Apr 19, 2008 - 00:43:08

    Scan path: A:\;C:\;D:\;E:\;F:\;

    Statistics
    Time01:25:38
    Files264561
    Folders5989
    Boot Sectors3
    Archives5150
    Packed Files13481

    Results
    Identified Viruses 1
    Infected Files 1
    Suspect Files 0
    Warnings0
    Disinfected0
    Deleted Files1

    Engines Info
    Virus Definitions1160198
    Engine buildAVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
    Scan plugins16
    Archive plugins41
    Unpack plugins7
    E-mail plugins6
    System plugins5

    Scan Settings
    First ActionDisinfect
    Second ActionDelete
    HeuristicsYes
    Enable WarningsYes
    Scanned Extensions*;
    Exclude Extensions
    Scan EmailsYes
    Scan ArchivesYes
    Scan PackedYes
    Scan FilesYes
    Scan BootYes


    Scanned File Status
    C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\y75znkuu.default\Cache\C2152591d01=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexeDetected with: Spyware.Tool.Nircmd.A
    C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\y75znkuu.default\Cache\C2152591d01=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexeDeleted
    C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\y75znkuu.default\Cache\C2152591d01=>(RAR Sfx o)Update failed


    Logfile of HijackThis v1.99.1
    Scan saved at 05:31:13, on 19.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    C:\WINDOWS\system32\LckFldService.exe
    C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Programme\Picasa2\PicasaMediaDetector.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
    C:\Programme\Microsoft IntelliPoint\ipoint.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    D:\Programme\Casio\Plauto.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\FRITZ!DSL\FritzDsl.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Programme\Microsoft Office\Office12\WINWORD.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\DOKUME~1\Anja\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    O4 - HKLM\..\Run: [PDUiP6600DMon] C:\Programme\Canon\Memory Card Utility\iP6600D\PDUiP6600DMon.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe"
    O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\Casio\Plauto.exe
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: o4mdl - https://image.one4.de/o4/cab/o4mdl.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://download.bitdefender.com/resourc ... oscan8.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://floridakeysmedia.tv/axiscam/Code ... ontrol.ocx
    O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - https://www.sibelius.com/download/softwa ... Plugin.cab
    O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDE1DE2-F0E3-4C3A-8868-3F587C74CF9E}: NameServer = 192.168.122.252,192.168.122.253
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7E7661-3DAB-4D82-9720-B5A6B0F0689E}: NameServer = 192.168.122.252,192.168.122.253
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
    O23 - Service: setup_7.0.0.180_16.04.2008_19-42 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r (file missing)
    O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

    gruß
    hiddenbayboy

  22. #22
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Hallo

    Sehr gut gemacht

    Info zu diesem Fund:
    Bifrost Backdoor more information...
    Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers.
    Status: Deleted

    Registry entries detected
    HKEY_USERS\S-1-5-21-515967899-1993962763-1343024091-1005\SOFTWARE\WGET
    Das ist eine Fehlerkennung von CounterSpy, Es handelt sich nicht um Bifrost, sondern wird durch den Einsatz von ComboFix verursacht. Ist also harmlos.

    Mach noch folgendes:

    Falls noch nicht gemacht:
    Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"


    öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

    O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe"
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://a1540.g.akamai.net/7/1540/52/200 ... plugin.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://download.bitdefender.com/resourc ... oscan8.cab
    O23 - Service: setup_7.0.0.180_16.04.2008_19-42 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_16.04.2008_19-42.exe" -r (file missing)

    Nun zuerst die
    Systemwiederherstellung
    https://support.microsoft.com/default.as ... ;de;310405
    zuerst deaktivieren, dann wieder aktivieren


    Wenn der Computer z. B. mit einem Virus infiziert ist, kann es sein, dass der Virus durch die Systemwiederherstellung gesichert wird. Windows verhindert standardmäßig, dass die Systemwiederherstellung von anderen Programmen verändert wird. Es ist daher möglich, dass eine mit einem Virus infizierte Datei versehentlich wiederhergestellt wird.

    Es sollte dann wieder in Ordnung sein.

    Die hier verwendeten Programme können dann wieder deinstalliert/entfernt werden. CounterSpy kann man zwei Wochen verwenden, dann entweder kaufen (ist schon sehr gut) oder deinstallieren.

    Tipp: Nutze in Zukunft immer zusätzlich die Freeware Sandboxie, damit sich das System nichts mehr einfängt. Bei einigen Virenscannern muss das unter vertrauenswürdige Anwendungen eingetragen werden, bzw. in der verwendeten Firewall freigegeben werden.
    https://www.paules-pc-infothek.de/ppf2/v ... php?t=1136

    Lese auch mal: Zusammenstellung: Wie mache ich meinen PC sicher?
    https://www.paules-pc-infothek.de/ppf2/v ... .php?t=872

    Danke für die tolle Umsetzung meiner Anleitung



    Alles Gute.

  23. #23
    Avatar von hiddenbayboy
    hiddenbayboy ist offline
    Themen Starter

    Title
    Benutzer
    seit
    13.04.2008
    Beiträge
    11

    Standard Re: was schlimmes eingefangen!

    hallo Humdinger
    vielen Dank nochmal für Deine Mühe und Zeit. Es hat echt prima geklappt ( Du hast mich ja auch quasi "an der Hand geführt")
    eine Frage noch:
    weißt Du ein gutes Programm ( evtl. free)mit dem ich Windows bzw. den Bootvorgang schneller machen kann?
    ich hatte mal Norton System Works (One Button Checkup). So was ähnliches suche ich. Ich glaube das war ganz gut.

    Also nochmals Danke
    vielleicht liest man ja mal wieder was voneinander
    Du bist ja oft im Forum

    liebe Grüße
    hiddenbayboy

  24. #24
    Avatar von Humdinger
    Humdinger ist offline

    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: was schlimmes eingefangen!

    Sowas kenne ich nicht. Microsoft hat nicht ohne Grund sein eigenes Tool Bootvis damals vom Markt genommen. Also nicht verwenden. Was helfen kann, ist das System im abgesicherten Modus mal vollständig zu defragmentieren.

    Ach ja, die Norton Produkte verlangsamen das System, ich würde das deinstallieren und nicht mehr verwenden.

Ähnliche Themen

  1. virus eingefangen

    Von bernd im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 14.04.2013, 17:19
  2. Habe ich mir was eingefangen?

    Von Mr.Cheese im Forum Antivirus und PC Sicherheit
    Antworten: 6
    Letzter Beitrag: 14.01.2011, 07:50
  3. Trojaner eingefangen!

    Von noname im Forum Antivirus und PC Sicherheit
    Antworten: 3
    Letzter Beitrag: 25.12.2010, 18:56
  4. Antimalware doctor eingefangen

    Von kosta17 im Forum Antivirus und PC Sicherheit
    Antworten: 13
    Letzter Beitrag: 20.08.2010, 22:58
  5. Hallo, fürchte ich hab mir da was eingefangen

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 5
    Letzter Beitrag: 04.04.2006, 12:19
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz