diverse trojamermeldungen inkl. logfile/auswertung

#1 hi together...

als superlaie im computerbereich habe ich mir wahrscheinlich einen halben zoo gefangen... mein virenprogramm (avast) zeigt mehrere trojaner an!

c:\windows\system32\w?nlogon.exe

ich habe einmal versucht ein logfile zu erstellen und dieses auswerten lassen. mein latein ist nun jedoch zu ende...

was soll oder kann ich tun?

herzlichen dank für eure hilfe

kischi


http://www.hijackthis.de/logfiles/4ee481af9967cd9071ccd075c80be71e.html

Logfile of HijackThis v1.99.1
Scan saved at 19:24:30, on 03.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\AWLSTA.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-ch\msnappau.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AWLSTA.EXE] AWLSTA.EXE START
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-ch\msnappau.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Jhdtxd] C:\WINDOWS\System32\w?nlogon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 209.8.20.130
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://irc.bluewin.ch/java/cr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#2 http://www.virustotal.com
lade dort zur Überprüfung folgende exe-Dateien hoch:

C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\AWLSTA.EXE
C:\WINDOWS\system32\ntvdm.exe

(alle drei Dateien können, müssen aber nicht, Viren enthalten)
Ggf. das Ergebnis posten (falls Viren gefunden wurden).

Lade Dir eScanCheck herunter und bringe es auf den aktuellen Stand. Noch nicht ausführen, das kommt erst später.
http://virus-protect.org/escan.html

Mit HijackThis (=HJT) fixen (Häkchen vor den entsprechenden Eintrag, dann auf "fix checked" klicken). Dieser Vorgang sollte am besten im abgesicherten Modus vorgenommen werden (bevor der Windows Startbildschirm kommt F8 drücken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)

O4 - HKCU\..\Run: [Jhdtxd] C:\WINDOWS\System32\w?nlogon.exe

O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 209.8.20.130
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Führe nun (auch im abgesicherten Modus) eScanCheck durch und poste uns das Ergebnis (wie in dem oben genannten Link erwähnt).

Nachtrag: lösche die C:\WINDOWS\System32\w?nlogon.exe ebenfalls im abgesicherten Modus. Es könnte sein, dass ein normales Löschen hier nicht ausreicht und sich die Datei von selbst wiederherstellt. Das kann vorkommen, wenn noch ein anderer Prozess läuft, der bisher nicht als Virus identifiziert wurde. Falls einer der ganz am Anfang genannten Prozesse (die, die Du bei Virustotal überprüfen lassen sollst) auch einen Virus enthält, sollte die jew. EXE ebenfalls gelöscht werden. Falls Windows sich weigert, weil die Datei gerade benutzt wird, hilft das Programm Killbox, welches Du auch schon mal vorsorglich herunterladen solltest. Mit Killbox löschst Du wie folgt: Programm starten, "Delete on Reboot" aktivieren, den Pfad zur Exe eingeben, auf das X im roten Kreis klicken. Sollten mehrere Dateien gelöscht werden, immer die Frage nach dem Reboot verneinen und erst nach der letzten Datei bejahen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Überprüfe bitte folgende Dateien auf http://virusscan.jotti.org/de/
C:\WINDOWS\system32\AWLSTA.EXE
C:\WINDOWS\System32\w?nlogon.exe

Fixe bitte folgende Einträge:
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - Global Startup: Digital Line Detect.lnk = ?
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 209.8.20.130
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Danach Rechner neu starten.

Außerdem solltest du Avast durch AntiVir ersetzten.Erstens wegen der besseren Erkennungsrate und zweitens, weil anscheinend sowiso Datein fehlen siehe:
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Besuche diese Seite: eScan (http://www.trojaner-info.de/hijacker/escan.shtml), lies Dir die Anweisung gut durch, lade den eScan runter und scanne Deinen Rechner damit offline im abgesicherten Modus. Gib uns das Ergebnis bekannt: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Dann gehe in den abgesicherten Modus und lösche diesen Ordner:
C:\WINDOWS\system32\P2P Networking

Sehe grad, das blueslayah sowiso schneller war.

#4

Zitat

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

Gehört zur MSN Toolbar.

Zitat

O4 - Global Startup: Digital Line Detect.lnk = ?

Ja, das hab ich übersehen. Sollte auch gefixt werden.

Ups... und noch was übersehen:
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
Mach das weg!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5

Zitat

Zitat:
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

Gehört zur MSN Toolbar.

Stimmt. aber lies mal das hier. die Datei ist aber wirklich legitim.:
http://www.file.net/prozess/stmain.dll.html
http://forum.hijackthis.de/showthread.php?p=17070
Ist aber anscheinend Anschauungssache.

#6 Joar... ich sehe aber aus dem Log, dass er die MSN Toolbar installiert hat. Außerdem wird sie vom korrekten Pfad geladen. Also ist die Wahrscheinlichkeit relativ gering, dass es Malware ist.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Kischi

der PC ist voellig verseucht, nach dem Fixen mit HijackThis mache folgendes:


ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- URLs
- index.dat

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.0.0.1 localhost

dann arbeite das ab:
http://virus-protect.org/escan.html
http://virus-protect.org/onlinescan.html

und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo zusammen
Nachdem ich mir nun endlich die Zeit genommen habe, den komischen Trojaner zu entfernen kommen schon die nächsten Probleme auf mich zu...
Seit ich die verschiedenen Prozesse durchgeführt und Avast durch AntiVir ersetzt habe, läuft mein PC sehr sehr langsam. Online-Fernseh ist z.B. nicht mehr möglich... Woran könnte dies liegen? Was soll ich tun?
Herzlichen Dank für eure Hilfe.
Liebe Grüsse aus der Schweiz
Kischi
p.s. der PC ist auch lauter wie früher...

#9 du musst einen von beiden Virenscannern deinstallieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#10 danke für deine schnelle antwort! das Deinstallieren habe ich berets getan und doch wird er Computer ca. 2 Minuten nach dem Einstellen zuerst lauter und dann viel langsamer... soll ich einmal einen log posten oder hast du evt. eine idee?

#11 ja, poste ein neues Log vom HijackThis, wahrscheinlich sind noch Dienste aktiv ....
+
http://virus-protect.org/datfindbat.html
poste auch die 4 Logs hier
__________
MfG Sabina

rund um die PC-Sicherheit

#12 ups... also ich versuche das mal!

Verzeichnis von C:\WINDOWS\SYSTEM32

31.10.2005 22:36 31'045 nvModes.001
30.10.2005 19:56 380'684 PERFH009.DAT
30.10.2005 19:56 53'098 PERFC009.DAT
30.10.2005 19:56 391'574 PERFH007.DAT
30.10.2005 19:56 63'976 PERFC007.DAT
30.10.2005 19:56 897'778 PerfStringBackup.INI
28.10.2005 19:39 65 CONFIG.NT
23.10.2005 08:25 342'312 FNTCACHE.DAT
11.10.2005 22:43 31'045 nvModes.dat
10.10.2005 21:26 1'170 WPA.DBL
04.10.2005 16:26 3'013'120 mshtml.dll
23.09.2005 04:06 8'491'520 shell32.dll
10.09.2005 02:54 2'067'968 cdosys.dll
03.09.2005 00:53 664'064 wininet.dll
03.09.2005 00:53 39'424 pngfilt.dll
03.09.2005 00:53 205'312 dxtrans.dll
03.09.2005 00:53 55'808 extmgr.dll
03.09.2005 00:53 474'112 shlwapi.dll
03.09.2005 00:53 605'696 urlmon.dll
03.09.2005 00:53 251'392 iepeers.dll
03.09.2005 00:53 1'484'288 shdocvw.dll
03.09.2005 00:53 448'512 mshtmled.dll
03.09.2005 00:53 96'768 inseng.dll
03.09.2005 00:53 146'432 msrating.dll
03.09.2005 00:53 530'432 mstime.dll
03.09.2005 00:53 1'019'904 browseui.dll
03.09.2005 00:53 152'064 cdfview.dll
03.09.2005 00:53 1'055'744 danim.dll
01.09.2005 02:44 292'352 winsrv.dll
01.09.2005 02:44 19'968 linkinfo.dll
30.08.2005 04:55 1'292'800 quartz.dll
23.08.2005 04:39 124'416 umpnpmgr.dll
22.08.2005 19:31 197'632 netman.dll
09.08.2005 23:13 831'488 libeay32.dll
09.08.2005 23:13 159'744 ssleay32.dll
09.08.2005 23:12 3'596'288 qt-dx331.dll
09.08.2005 23:12 3'136 dtu_de.qm
26.07.2005 05:39 11'776 xolehlp.dll
26.07.2005 05:39 397'824 rpcss.dll
26.07.2005 05:39 37'888 olecnv32.dll
26.07.2005 05:39 101'376 txflog.dll
26.07.2005 05:39 74'752 olecli32.dll
26.07.2005 05:39 1'285'120 ole32.dll
26.07.2005 05:39 91'136 mtxoci.dll
26.07.2005 05:39 66'560 mtxclu.dll
26.07.2005 05:39 945'152 msdtctm.dll
26.07.2005 05:39 161'280 msdtcuiu.dll
26.07.2005 05:39 425'472 msdtcprx.dll
26.07.2005 05:39 540'160 comuid.dll
26.07.2005 05:39 243'200 es.dll
26.07.2005 05:39 1'267'200 comsvcs.dll
26.07.2005 05:39 498'688 clbcatq.dll
26.07.2005 05:39 97'792 comrepl.dll
26.07.2005 05:39 60'416 colbact.dll
26.07.2005 05:39 225'792 catsrv.dll
26.07.2005 05:39 625'152 catsrvut.dll
26.07.2005 05:39 110'080 clbcatex.dll
08.07.2005 17:28 76'800 remotesp.tsp
08.07.2005 17:28 249'344 tapisrv.dll


Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

31.10.2005 22:37 512 ~DFEF15.tmp
31.10.2005 22:36 7'166 jusched.log
31.10.2005 08:35 2'496 java_install_reg.log
30.10.2005 20:04 1'409 FOR8.tmp
30.10.2005 20:04 40'644 ZTR7.tmp
30.10.2005 20:04 1'409 FOR7.tmp
30.10.2005 20:04 41'456 ZTR6.tmp
29.10.2005 11:43 893 TWAIN.LOG
29.10.2005 11:43 2 Twain001.Mtx
29.10.2005 11:43 156 Twunk001.MTX
29.10.2005 09:36 0 Twunk002.MTX
28.10.2005 21:06 16'384 ~DF2FF5.tmp
26.10.2005 18:43 2'092'878 UseNeXTSetup.exe

Verzeichnis von C:\WINDOWS

31.10.2005 22:36 0 0.log
31.10.2005 22:36 159 WIADEBUG.LOG
31.10.2005 22:36 1'534'964 WindowsUpdate.log
31.10.2005 22:36 50 WIASERVC.LOG
31.10.2005 22:36 2'048 BOOTSTAT.DAT
31.10.2005 10:54 32'626 SchedLgU.Txt
28.10.2005 22:30 274'138 ntbtlog.txt
28.10.2005 21:01 1'024 MKDEWE.TRN
28.10.2005 21:01 135 MKDEMSG.LOG
28.10.2005 21:00 54'156 QTFont.qfn
28.10.2005 20:31 4'028 setupapi.log
26.10.2005 18:10 116 NeroDigital.ini
19.10.2005 14:13 100 cdplayer.ini
02.10.2005 11:03 1'409 QTFont.for
19.09.2005 20:08 25'601 CSTBox.INI
18.09.2005 16:55 36 webica.ini
18.09.2005 16:30 4'359 ODBCINST.INI
24.08.2005 20:44 0 mngui.INI
24.08.2005 20:13 502 ODBC.INI
11.08.2005 17:36 28'103'690 setupapi.log.2.old
10.07.2005 09:28 1'380'196 setupapi.log.0.old
09.07.2005 21:54 10 smdat32m.sys
15.06.2005 21:04 291 CorelDRAW.ini
13.06.2005 22:33 4'319'327 setupapi.log.1.old
06.06.2005 20:59 0 smdat32a.sys
27.05.2005 00:22 10'752 hh.exe


Verzeichnis von C:\

31.10.2005 22:56 0 sys.txt
31.10.2005 22:55 6'825 system.txt
31.10.2005 22:55 1'031 systemtemp.txt
31.10.2005 22:53 102'311 system32.txt
31.10.2005 22:36 804'777'984 hiberfil.sys
31.10.2005 22:36 2'415'919'104 pagefile.sys
28.10.2005 22:42 4 AVPCallback.log
03.10.2005 20:23 1'024 .rnd
11.09.2005 20:01 22'016 BIPAKVA.xls
30.05.2005 21:33 943'408 HGFBH.EXE
28.05.2005 19:42 428 2.txt
26.04.2005 17:42 729 devicetable.log

HijackThis-Log

Logfile of HijackThis v1.99.1
Scan saved at 22:58:01, on 31.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de-ch\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ConferenceRoom Java Client - http://irc.bluewin.ch/java/cr.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

#13 ich kann nichts finden, wahrscheinlich hast du das System mit dem P2P voellig ruiniert...auch in der Registry.

TuneUp 2006 (30 Tage free) Shareware
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
http://virus-protect.org/reinigungstoolsregistry.html
__________
MfG Sabina

rund um die PC-Sicherheit