Gelbes Dreieck und your computer is infected

#1 Hi,

Hab mir mal wieder was eingefangen und von Hijackthis ein Logfile erstellt.Vielleicht kann mir jemand wieder mal helfen bei dem Virus oder Spyware oder was immer es auch ist.

Logfile of HijackThis v1.99.1
Scan saved at 22:30:25, on 22.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\msole32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\intmon.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\intell32.exe
E:\Exedateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9535.tmp
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Wenn ich was falsch gemacht habe, sagt mir ruhig was, dann werde ich es sofort posten.

#2 http://www.virustotal.com

Prüfe dort folgende Dateien:
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\intell32.exe

Mögliche Infektion: Troj/Puper-D (Link mit Anleitung zum Entfernen)


Fixe mit HJT:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9535.tmp

Nachtrag: Du sollst doch net mit dem IE oder seinen Clones ins Internet gehen. Hat Dir das noch keiner gesagt? Grundlos fängt man sich so'n Schweinkrams ja net ein
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Ich denke, Du hast recht mit dem Trojaner, aber da ich dem englischen nicht mehr so firm bin, hilft mir der Link nicht viel weiter.

Ich erklär es Dir mal im Einzelnen.ich hatte vor nicht geraumer zeit ein ähnliches Problem, denn nun hat sich mein desktop wieder verabschiedet.ich sehe einen anderen Hintergrund, als den, den ich angegeben hab und unten rechts in der Taskleiste erscheint öfter ein kleines gelbes Dreieick und ein rotes Ausrufezeichen, die versuchen dann über IE ins Internet zu gelangen, was Ihnen aber durch Bitdefender nicht gelingt.

Sabina hatte mir damals auch schon geholfen und es hat wunderbar geklappt.

Hoffe nun, das du mir ähnlich gut helfen kannst, deswegen poste ich Dir mal die Dinge, die ich damals sabina auch posten sollte.

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\system32

23.07.2005 00:26 1.621 wppp.html
22.07.2005 22:20 6.144 intell32.exe
22.07.2005 22:19 3.072 intmon.exe
22.07.2005 22:19 6.144 hhk.dll
22.07.2005 22:14 2.206 wpa.dbl
22.07.2005 22:02 7.277 msole32.exe
22.07.2005 22:01 766 spyware.ico
22.07.2005 22:01 4.286 spam.ico
22.07.2005 22:01 2.238 pharm.ico
22.07.2005 22:01 2.238 network.ico
22.07.2005 22:01 2.238 Date.ico
17.07.2005 16:56 43.520 CmdLineExt03.dll
30.06.2005 11:04 380.350 perfh009.dat
30.06.2005 11:04 52.764 perfc009.dat
30.06.2005 11:04 391.000 perfh007.dat
30.06.2005 11:04 63.580 perfc007.dat
30.06.2005 11:04 897.954 PerfStringBackup.INI
30.06.2005 10:56 200.144 FNTCACHE.DAT
30.06.2005 10:55 611 $winnt$.inf
30.06.2005 10:51 16.832 amcompat.tlb
30.06.2005 10:51 23.392 nscompat.tlb
30.06.2005 10:50 488 WindowsLogon.manifest
30.06.2005 10:50 488 logonui.exe.manifest
30.06.2005 10:50 749 ncpa.cpl.manifest
30.06.2005 10:50 749 cdplayer.exe.manifest
30.06.2005 10:50 749 nwc.cpl.manifest
30.06.2005 10:50 749 wuaucpl.cpl.manifest
30.06.2005 10:50 749 sapi.cpl.manifest
30.06.2005 10:48 23.504 emptyregdb.dat
27.06.2005 21:30 536.475 Mira.scr
27.06.2005 21:19 526.810 Moni.scr
28.05.2005 20:33 3.069 jupdate-1.5.0_02-b09.log
28.05.2005 17:30 0 h323log.txt
28.05.2005 16:36 2.951 CONFIG.NT
04.03.2005 03:36 127.078 javaws.exe
04.03.2005 03:36 49.265 jpicpl32.cpl
04.03.2005 02:07 49.250 javaw.exe
04.03.2005 02:06 49.248 java.exe
13.01.2005 21:41 126.976 zip.exe
13.01.2005 21:41 90.112 RegDACL.exe
13.01.2005 21:41 39.184 Ntrights.exe
13.01.2005 21:41 11.254 locate.com
13.01.2005 21:41 24.576 Reboot.exe

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp

23.07.2005 00:15 14.863 jusched.log
22.07.2005 22:21 2.026.700 PSGuardInstall.exe
22.07.2005 22:12 4.132 temp.fr15C5
22.07.2005 22:12 3.072 temp.fr7D56
22.07.2005 22:01 70 kenm.bat
21.07.2005 17:33 917.504 MFPL7014.DLL
21.07.2005 00:02 798.234 IMT45.xml
21.07.2005 00:02 426 IMT44.xml
21.07.2005 00:02 2.036 IMT43.xml
17.07.2005 23:45 798.234 IMTF.xml
17.07.2005 23:45 426 IMTE.xml
17.07.2005 23:45 2.036 IMTD.xml
17.07.2005 16:56 24.748 SIntfNT.dll
17.07.2005 16:56 20.020 SIntf32.dll
17.07.2005 16:56 12.305 SIntf16.dll
17.07.2005 11:34 40.960 MSIA4.tmp
16.07.2005 17:59 16.384 ~DF5B91.tmp
15.07.2005 18:45 7.896 java_install_reg.log
14.07.2005 04:08 32.768 ~DFA623.tmp
13.07.2005 13:08 798.234 IMT5.xml
13.07.2005 13:08 426 IMT4.xml
13.07.2005 13:08 2.036 IMT3.xml
11.07.2005 16:22 47.625 tmp43501zip
11.07.2005 01:48 32.768 ~DFD114.tmp
10.07.2005 21:06 351.744 151b0387.mst
09.07.2005 18:10 16.384 ~DF919E.tmp
08.07.2005 12:10 16.384 ~DF232A.tmp
05.07.2005 02:16 0 CacheInfo.dnl
04.07.2005 17:10 32.768 ~DF11EB.tmp
03.07.2005 18:04 32.768 ~DF4749.tmp
03.07.2005 03:37 53.787 tmp43313zip
02.07.2005 16:36 1.528 kb.log
02.07.2005 12:09 16.384 ~DF5203.tmp
01.07.2005 10:27 16.384 ~DFEC1D.tmp
29.06.2005 16:52 32.130 44f0_appcompat.txt
29.06.2005 14:56 798.234 IMT51.xml
29.06.2005 14:56 426 IMT50.xml
29.06.2005 14:56 2.036 IMT4F.xml
28.06.2005 11:30 798.234 IMT1F.xml
28.06.2005 11:30 426 IMT1E.xml
28.06.2005 11:30 2.036 IMT1D.xml
27.06.2005 21:44 0 ~E.tmp
27.06.2005 13:31 798.234 IMT56.xml
27.06.2005 13:31 426 IMT55.xml
27.06.2005 13:31 2.036 IMT54.xml
22.06.2005 20:38 798.234 IMT2F.xml
22.06.2005 20:38 426 IMT2E.xml
22.06.2005 20:38 2.036 IMT2D.xml
15.06.2005 21:40 73.276 ~e5.0001
10.06.2005 09:20 20.079 tmp63743zip
06.06.2005 15:37 32.768 ~DFC68A.tmp
02.06.2005 20:30 16.870 tmp7080zip
02.06.2005 12:04 77.895 tmp19425zip
31.05.2005 17:03 0 httpgf69.tmp
31.05.2005 15:50 1.789 Office XP Professional mit FrontPage Setup(0007).txt
31.05.2005 15:49 3.164 Office XP Professional mit FrontPage Setup(0006).txt
31.05.2005 15:49 145.316 Office XP Professional mit FrontPage Setup(0006)_Task(0001).txt
31.05.2005 15:48 1.789 Office XP Professional mit FrontPage Setup(0005).txt
31.05.2005 14:14 0 httpgf59.tmp
29.05.2005 22:41 3.319 pihp(0001).txt
29.05.2005 22:41 220.500 pihp(0001)_LibraryInstall.txt
29.05.2005 22:40 1.092.128 pihp(0001)_EditorInstall.txt
29.05.2005 22:35 1.789 Office XP Professional mit FrontPage Setup(0004).txt
29.05.2005 22:29 1.789 Office XP Professional mit FrontPage Setup(0003).txt
28.05.2005 21:33 373 jupdate1.5.0.xml
28.05.2005 21:21 2.456 Install Log - hp officejet v series.txt
28.05.2005 21:20 45 HPOUNI001.2005May28-212024.LOG
28.05.2005 20:33 23.552 java_install.log
28.05.2005 20:30 890 jinstall.cfg
28.05.2005 17:56 4.682 netfxupdate.log
28.05.2005 17:54 10.988 netfxsl.log
28.05.2005 17:54 7.734 ASPNETSetup.log
28.05.2005 17:38 1.163 langpackSetup.log
28.05.2005 17:38 2.319 dotNetFx.log
28.05.2005 17:11 3.422 Office XP Professional mit FrontPage Setup(0002).txt
28.05.2005 17:11 8.700.036 Office XP Professional mit FrontPage Setup(0002)_Task(0001).txt
28.05.2005 17:09 45.654 offcln10.log
28.05.2005 17:08 3.441 Office XP Professional mit FrontPage Setup(0001).txt
28.05.2005 17:08 757.876 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt
28.05.2005 17:05 798.234 IMT7.xml
28.05.2005 17:05 426 IMT6.xml

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS

23.07.2005 00:22 233.969 WindowsUpdate.log
23.07.2005 00:16 0 0.log
23.07.2005 00:16 157 wiadebug.log
23.07.2005 00:16 50 wiaservc.log
23.07.2005 00:15 2.048 bootstat.dat
23.07.2005 00:14 13.754 SchedLgU.Txt
22.07.2005 22:02 3.072 uninstIU.exe
22.07.2005 21:32 116 NeroDigital.ini
17.07.2005 20:55 210.054 setupapi.log
17.07.2005 20:45 73 wininit.ini
17.07.2005 20:44 321 SIERRA.INI
13.07.2005 13:08 6.038 switchagreement.txt
13.07.2005 13:08 1 imsins_.bin
13.07.2005 13:08 92 KB842252.log
13.07.2005 13:08 20.480 internt.exe
11.07.2005 23:29 12.678 wmsetup.log
07.07.2005 01:53 116 PCGWIN32.LI3
05.07.2005 23:07 238.986 setupact.log
02.07.2005 16:42 576.402 ntbtlog.txt
30.06.2005 11:11 2.908 COM+.log
30.06.2005 10:59 37.968 comsetup.log
30.06.2005 10:59 587.551 setuplog.txt
30.06.2005 10:55 106.920 iis6.log
30.06.2005 10:55 19.587 ntdtcsetup.log
30.06.2005 10:55 21.165 tsoc.log
30.06.2005 10:55 4.382 imsins.log
30.06.2005 10:55 2.504 tabletoc.log
30.06.2005 10:55 1.770 ocmsn.log
30.06.2005 10:51 316.640 WMSysPr9.prx
30.06.2005 10:51 1.617 OEWABLog.txt
30.06.2005 10:51 4.161 ODBCINST.INI
30.06.2005 10:50 749 WindowsShell.Manifest
30.06.2005 10:49 589 win.ini
30.06.2005 10:49 3.122 MedCtrOC.log
30.06.2005 10:49 29.464 ocgen.log
30.06.2005 10:49 1.748 msgsocm.log
30.06.2005 10:49 23.074 FaxSetup.log
30.06.2005 10:49 2.065 sessmgr.setup.log
30.06.2005 10:49 5.580 netfxocm.log
30.06.2005 10:48 253 DtcInstall.log
30.06.2005 10:48 20.414 msmqinst.log
30.06.2005 10:48 373 cmsetacl.log
30.06.2005 10:44 110 setuperr.log
30.06.2005 10:43 2.442 regopt.log
30.06.2005 10:43 231 system.ini
30.06.2005 10:31 10.947 WINNT32.LOG
30.06.2005 10:30 254 UPGRADE.TXT
30.06.2005 10:30 149 wsdu.log
30.06.2005 10:29 178 DHCPUPG.LOG
29.06.2005 16:12 224.844 setupapi.old
29.06.2005 16:11 447 AvxOnline.log
29.06.2005 16:05 32 pavsig.txt
15.06.2005 21:30 1.366 DirectX.log
03.06.2005 02:48 632 Sfc3ng.INI
30.05.2005 00:25 612 eReg.dat
29.05.2005 15:47 7.680 Thumbs.db
28.05.2005 21:23 308 KB825116.log
28.05.2005 21:22 20 Hposcv07.INI
28.05.2005 17:27 0 Sti_Trace.log
28.05.2005 17:11 400 ODBC.INI
28.05.2005 16:41 8.192 REGLOCS.OLD
28.05.2005 16:40 4.382 imsins.BAK
28.05.2005 16:36 0 control.ini
28.05.2005 16:32 36 vb.ini
28.05.2005 16:32 37 vbaddin.ini

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\

23.07.2005 00:28 0 sys.txt
23.07.2005 00:27 5.467 system.txt
23.07.2005 00:27 5.262 systemtemp.txt
23.07.2005 00:26 93.569 system32.txt
23.07.2005 00:15 536.399.872 hiberfil.sys
23.07.2005 00:14 805.306.368 pagefile.sys
21.07.2005 00:02 0 inst.exe
02.07.2005 18:05 1.530 Scan Report_20050702.txt.txt
02.07.2005 14:28 0 23990098.$$$
30.06.2005 10:47 211 boot.ini
28.05.2005 16:36 0 IO.SYS
28.05.2005 16:36 0 AUTOEXEC.BAT
28.05.2005 16:36 0 CONFIG.SYS
28.05.2005 16:36 0 MSDOS.SYS
17.01.2005 19:15 3.180 rkfiles.bat
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
10.03.2004 06:01 45.056 strings.exe
18.08.2001 16:00 4.952 bootfont.bin
19 Datei(en) 1.342.164.215 Bytes
0 Verzeichnis(se), 4.992.028.672 Bytes frei

Pfind
http://www.bleepingcomputer.com/files/pfind.php

Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINDOWS folder
C:\WINDOWS\uninstIU.exe: UPX!


Checking the C:\WINDOWS\SYSTEM32 folder
C:\WINDOWS\SYSTEM32\intell32.exe: UPX!
C:\WINDOWS\SYSTEM32\locate.com: WAUPX!
C:\WINDOWS\SYSTEM32\msole32.exe: FSG!
C:\WINDOWS\SYSTEM32\ntdll.dll: .aspack
C:\WINDOWS\SYSTEM32\oleext.dll: UPX!


Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder


Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder



Checking the C:\Dokumente und Einstellungen\Stromi\Start Menu\programs\Startup\ folder



Checking the C:\Dokumente und Einstellungen\Stromi\Application Data folder


Find_It__s.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip

Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\INTELL32.EXE
* UPX! C:\WINDOWS\UNINSTIU.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\System32\OLEEXT.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\system32

22.07.2005 22:01 2.238 Date.ico
22.07.2005 22:01 2.238 network.ico
22.07.2005 22:01 2.238 pharm.ico
22.07.2005 22:01 4.286 spam.ico
22.07.2005 22:01 766 spyware.ico
5 Datei(en) 11.766 Bytes
0 Verzeichnis(se), 4.991.909.888 Bytes frei

»»»»»»»»»»»»»»»»»»»»»»»».

Silentrunners
http://virus-protect.org/silentrunner.html

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Skype" = ""E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [MS]
"paint.exe" = "shnlog.exe" [file not found]
"winlogon.exe" = "msole32.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"BDMCon" = "C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."]
"BDOESRV" = "C:\Programme\Softwin\BitDefender8\\bdoesrv.exe" [null data]
"BDNewsAgent" = "C:\Programme\Softwin\BitDefender8\bdnagent.exe" [null data]
"BDSwitchAgent" = "C:\Programme\Softwin\BitDefender8\\bdswitch.exe" [null data]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "sockspy.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\\wppp.html"


Startup items in "Stromi" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Microsoft Office" -> shortcut to: "E:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"]
BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]
BitDefender Virus Shield, VSSERV, "C:\Programme\Softwin\BitDefender8\vsserv.exe /service" [null data]
ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 31 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 25 seconds.
---------- (total run time: 114 seconds)


HijackThis
http://virus-protect.org/hjtkurz.html


HijackThis
http://virus-protect.org/hjtkurz.html


So, das war erst einmal alles und ich hoffe Du kannst mir dort weiterhelfen.Tu mir nur einen Gefallen und erkläre was ich machen soll, als wäre ich 6 jahre alt.Bin da nämlich etwas Begriffsstutzig:-).

Jean-Luc

#4 Ok, ich bin net Sabina, deshalb kann ich net so viel mit dem anfangen, was Du mir da gepostet hast. Ich hoffe, sie kommt bald aus ihrem Urlaub wieder zurück
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Auweia, na dann kann ich ja nur beten, das dieser Virus nicht noch mehr flach legt.
Da muss ich wohl warten und hoffen, das Sie dies hier liest und vor allem bald wieder da ist.

Danke trotzdem für Deine Hilfe.

#6 Naja, müsste auch so zu schaffen sein. Soweit ich weiß sieht man an den Listen eigentlich nur, wann auf eine Datei in den genannten Ordnern zugegriffen worden ist.

z.B. msole.exe im System32 Ordner:
22.07.2005 22:02 7.277 msole32.exe

#7 Na ja, ich würd so vorgehen, dass ich im abgesicherten Modus starte und die verdächtigen Dateien alle lösche - evtl. mit Killbox.

Achja, und den Stinger würd ich noch benutzen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8 Hi, hab mal die verdächtigen Dateien gelöscht.

Nützt aber anscheinend nix.Mein desktop is immer noch verändert und mein PC wird immer langsamer.

So ein Müll.Diverse Antivirenprogramme finden au nix.Hoffe, Sabina is bald wieder da, nix gegen Euch ;-).

J-L

#9 Hallo@Jean-Luc

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

C:\WINDOWS\SYSTEM32\ntdll.dll


•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"


C:\WINDOWS\system32\wppp.html
C:\WINDOWS\system32\hp9535.tmp
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\pharm.ico
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\Date.ico
C:\WINDOWS\SYSTEM32\msole32.exe
C:\WINDOWS\SYSTEM32\oleext.dll
C:\inst.exe
C:\DOKUME~1\Stromi\LOKALE~1\Temp\PSGuardInstall.exe
C:\DOKUME~1\Stromi\LOKALE~1\Temp\temp.fr15C5
C:\DOKUME~1\Stromi\LOKALE~1\Temp\temp.fr7D56
C:\DOKUME~1\Stromi\LOKALE~1\Temp\kenm.bat
C:\WINDOWS\internt.exe
C:\WINDOWS\KB842252.log
C:\WINDOWS\uninstIU.exe

PC neustarten


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.



REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-
"Wallpaper"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.


Cleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

--------------------------------------------------------------------------
Info:
Internt.exe, "Added by the PEEPER or CARUFAX.A TROJANS!"
Troj/Hogil-D kann außerdem die Datei KB842252.log erstellen.
C:\WINDOWS\uninstIU.exe infected
by "Trojan.Win32.Small.ev"
C:\WINDOWS\system32\oleext.dll -> TrojanDownloader.
C:\INST.EXE.VIR infected by
"TrojanDropper.Win32.Small.mf
__________
MfG Sabina

rund um die PC-Sicherheit

#10 @Sabina
Hallo,
so, habe den scan durchgeführt, werde jetzt die anderen Sachen machen, die Du mir geschrieben hast.

Schön, das Du wieder da nist;-). Hoffe, Du bist gut erholt.
Nach meinem letzten Posting hat sich aber schon wieder einiges auf meinem PC geändert, zum Beispel findet er Desktop nicht mehr, aber erstmal sehen, was es bringt, wenn ich das ausführe was Du mir gesagt hast.

Hier der Scan:

Auslastung: 0% 100%

Datei: ntdll.dll
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Gruss Jean-Luc

#11 Hallo@Jean-Luc

versuche erst einmal alles auszufuehren, dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#12 @Sabina

So, habe alles soweit befolgt und Desktop ist auch wieder hergestellt.Die temporären Dateien zu löschen hat allerdings ewig lang gedauert.

Aber, und jetzt kommt das aber:-), irgendwie läuft der ganze PC noch ziemlich langsam.Dauert ewig bis ich online gehen kann, so, als ob der Arbeitsspeicher total überlastet ist.

War das übrigens auch für mich??
Soll ich da irgendwas machen?

Internt.exe, "Added by the PEEPER or CARUFAX.A TROJANS!"
Troj/Hogil-D kann außerdem die Datei KB842252.log erstellen.
C:\WINDOWS\uninstIU.exe infected
by "Trojan.Win32.Small.ev"
C:\WINDOWS\system32\oleext.dll -> TrojanDownloader.
C:\INST.EXE.VIR infected by
"TrojanDropper.Win32.Small.mf

Und wie geht´s ansonsten weiter?

Gruss J-L

#13 Hallo@Jean-Luc

hast du alles mit der Killbox geloescht ???

ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat


#TuneUp2004 (30 Tage free)
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

Ewido--> scannen und poste mir das Log vom Scan
http://virus-protect.org/antivirenfree.html
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#14 @Sabina

Also, habe alles mit Killbox gelöscht, Tune Up laufen lassen(Oh Mann, was der nicht alles gefunden hat), auch dort alles beseitigt.Habe den Cache gelöscht und das Log von HijackThis erstellt, was ich hier auch poste.

Allerdings läuft Ewido nun seit ca. 12 Stunden und er hat auf C:\ gerade mal 50% gescannt.
So geht es auch mit allen anderen Programmen, alles braucht ewig lange um geladen zu werden.

Hier nun erstmal mein Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 02:05:57, on 02.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Skype\Phone\Skype.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\winhlp32.exe
C:\Programme\ewido\security suite\SecuritySuite.exe
E:\Exedateien\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Sollte in den nächsten Stunden Ewido auch fertig werden, werd ich das noch nachposten

J-L

#15 Hallo@Jean-Luc

das Log sieht gut aus.
Vielleicht deinstallierst du mal den Bitdefender, denn die Dienste sind irgendwie nicht in Ordnung, wie du aus den 023-Eintraegen sehen kannst.
Dazu hast du noch den Antivirus aktiv und nun noch ewido.....das ist zuviel des Guten

Zitat

(file missing)

Vielleicht verbessert sich dann die Performance.
__________
MfG Sabina

rund um die PC-Sicherheit