Home » Viren, Trojaner & Malware Forum » Your System is infected auf dem Deskop » Themenansicht

Your System is infected auf dem Deskop
#0
17.06.2006, 22:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 thaag

1.
Vundofix anwenden (poste dann den report)
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\jkllm.tmp
C:\WINDOWS\system32\jkllm.ini
C:\WINDOWS\system32\jkllm.bak2
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\yvvdj.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\jkllm.bak1
C:\WINDOWS\system32\mllkj.dll
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\rmzdzx.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\cbxxwxx.dll
C:\WINDOWS\system32\wowexec-xyz.dll
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\eufececo.dll
C:\WINDOWS\YAXUninst.exe
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste das log vom Avenger

4.
SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
http://virus-protect.org/artikel/tools/smitfrautfix.html
doppelklick smitfraudfix.cmd
. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
. doppelklick smitfraudfix.cmd
. schreibe: 2

. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt]

5.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - C:\WINDOWS\system32\eufececo.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll
PC neustarten

6.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

7.
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2006, 12:12
thaag
...neu hier

Beiträge: 8
#17 Vundofix:

Zitat

VundoFix V4.2.84

Checking Java version...

Sun Java not detected
Scan started at 11:26:06 18.06.2006

Listing files found while scanning....

C:\WINDOWS\system32\cbxxwxx.dll

C:\WINDOWS\system32\jkllm.bak1
C:\WINDOWS\system32\jkllm.bak2
C:\WINDOWS\system32\jkllm.tmp
C:\WINDOWS\system32\jkllm.ini
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\mllkj.dll
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\jkllm.bak2
C:\WINDOWS\system32\jkllm.tmp
C:\WINDOWS\system32\jkllm.ini
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\mllkj.dll

VundoFix V4.2.84

Checking Java version...

Sun Java not detected
Scan started at 11:28:12 18.06.2006

Listing files found while scanning....

C:\WINDOWS\system32\cbxxwxx.dll

C:\WINDOWS\system32\jkllm.bak1
C:\WINDOWS\system32\jkllm.bak2
C:\WINDOWS\system32\jkllm.tmp
C:\WINDOWS\system32\jkllm.ini
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\mllkj.dll
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\jkllm.bak2
C:\WINDOWS\system32\jkllm.tmp
C:\WINDOWS\system32\jkllm.ini
C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\mllkj.dll
Attempting to delete C:\WINDOWS\system32\cbxxwxx.dll
C:\WINDOWS\system32\cbxxwxx.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\jkllm.bak1
C:\WINDOWS\system32\jkllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkllm.bak2
C:\WINDOWS\system32\jkllm.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkllm.tmp
C:\WINDOWS\system32\jkllm.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkllm.ini
C:\WINDOWS\system32\jkllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkllm.ini2
C:\WINDOWS\system32\jkllm.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mllkj.dll
C:\WINDOWS\system32\mllkj.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\mllkj.dll
C:\WINDOWS\system32\mllkj.dll Could not be deleted.

Performing Repairs to the registry.
Done!
Avenger:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\usxramhk

*******************

Script file located at: \??\C:\WINDOWS\system32\nbsjrpyb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\jkllm.ini2 not found!
Deletion of file C:\WINDOWS\system32\jkllm.ini2 failed!

Could not process line:
C:\WINDOWS\system32\jkllm.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\WINDOWS\system32\stdole3.tlb deleted successfully.


File C:\WINDOWS\system32\jkllm.tmp not found!
Deletion of file C:\WINDOWS\system32\jkllm.tmp failed!

Could not process line:
C:\WINDOWS\system32\jkllm.tmp
Status: 0xc0000034

File C:\WINDOWS\system32\jkllm.ini deleted successfully.


File C:\WINDOWS\system32\jkllm.bak2 not found!
Deletion of file C:\WINDOWS\system32\jkllm.bak2 failed!

Could not process line:
C:\WINDOWS\system32\jkllm.bak2
Status: 0xc0000034

File C:\WINDOWS\system32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\system32\yvvdj.dll deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\atmclk.exe deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\jkllm.bak1 deleted successfully.
File C:\WINDOWS\system32\mllkj.dll deleted successfully.
File C:\WINDOWS\system32\wnstssv.exe deleted successfully.
File C:\WINDOWS\system32\rmzdzx.dll deleted successfully.
File C:\WINDOWS\system32\regperf.exe deleted successfully.
File C:\WINDOWS\system32\cbxxwxx.dll deleted successfully.
File C:\WINDOWS\system32\wowexec-xyz.dll deleted successfully.
File C:\WINDOWS\system32\oins.exe deleted successfully.
File C:\WINDOWS\system32\eufececo.dll deleted successfully.
File C:\WINDOWS\YAXUninst.exe deleted successfully.
File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf deleted successfully.
File C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Hier schon mal ein ganz dickes Lob, nach dem Neustart war der scharze kasten mit dieser Warnmeldung weg und ist bis jetzt nicht mehr aufgetaucht

SmitFraudFix (Option 1):

Zitat

SmitFraudFix v2.61

Scan done at 11:39:09,39, 18.06.2006
Run from C:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\1024\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\thaag\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\thaag\FAVORI~1

C:\DOKUME~1\thaag\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\thaag\Desktop\Remove Spyware.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9ae613a2-a13b-4379-8d0e-86a1a78476ec}"="corindon"

[HKEY_CLASSES_ROOT\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{a2cd90b5-e5a2-4aac-a504-c964a6d499df}"="distractible"

[HKEY_CLASSES_ROOT\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}\InProcServer32]
@="C:\WINDOWS\system32\yvvdj.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}\InProcServer32]
@="C:\WINDOWS\system32\yvvdj.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

SmitFraudFix (Option 2):

Zitat

SmitFraudFix v2.61

Scan done at 11:44:15,75, 18.06.2006
Run from C:\Programme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9ae613a2-a13b-4379-8d0e-86a1a78476ec}"="corindon"

[HKEY_CLASSES_ROOT\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}\InProcServer32]
@="C:\WINDOWS\system32\rmzdzx.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{a2cd90b5-e5a2-4aac-a504-c964a6d499df}"="distractible"

[HKEY_CLASSES_ROOT\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}\InProcServer32]
@="C:\WINDOWS\system32\yvvdj.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}\InProcServer32]
@="C:\WINDOWS\system32\yvvdj.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\thaag\Desktop\Remove Spyware.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\thaag\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\rmzdzx.dll -> Missing File

C:\WINDOWS\system32\yvvdj.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{a2cd90b5-e5a2-4aac-a504-c964a6d499df}"="distractible"

[HKEY_CLASSES_ROOT\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}\InProcServer32]
@="C:\WINDOWS\system32\yvvdj.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}\InProcServer32]
@="C:\WINDOWS\system32\yvvdj.dll"



»»»»»»»»»»»»»»»»»»»»»»»» End

HijackThis Fix: Es kam eine Fehlermeldung mit "O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll" Aber beim neuen Scan ist es trotzdem nicht mehr dabei, wird wohl trotzdem geklappt haben.

HijackThis Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 12:01:09, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0DECED9B-D96D-47CD-A28D-5E3F1F3DDFE6} - C:\WINDOWS\system32\mllkj.dll (file missing)
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - C:\WINDOWS\system32\eufececo.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Verknüpfung mit Azureus-start.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139609791918
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: mllkj - C:\WINDOWS\system32\mllkj.dll (file missing)
O20 - Winlogon Notify: winvnv32 - winvnv32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Es sieht ganz danach aus als ob ich das Problem gelöst hätte. Ich möchte mich nochmals recht herzlich für die schnelle und kompetente Hilfe bedanken.

MfG Tobi
Seitenanfang Seitenende
18.06.2006, 12:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18
fixe mit dem HijackThis:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

O2 - BHO: (no name) - {0DECED9B-D96D-47CD-A28D-5E3F1F3DDFE6} - C:\WINDOWS\system32\mllkj.dll (file missing)
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll (file missing)
O2 - BHO: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - C:\WINDOWS\system32\eufececo.dll (file missing)
O20 - Winlogon Notify: mllkj - C:\WINDOWS\system32\mllkj.dll (file missing)
O20 - Winlogon Notify: winvnv32 - winvnv32.dll (file missing)
PC neustarten

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2006, 17:43
thaag
...neu hier

Beiträge: 8
#19

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:42:31, on 27.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Startup: Verknüpfung mit Azureus-start.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139609791918
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

So da ist es. Hab länger nicht mehr reingeschaut ("Aus dem Auge, aus dem Sinn")
Seitenanfang Seitenende
27.06.2006, 18:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 thaag
mache bitte einen onlinescan mit panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2006, 17:04
thaag
...neu hier

Beiträge: 8
#21

Zitat

Incident Status Location

Adware:Adware/SecurityError Not disinfected C:\avenger\backup-18.06.2006-11.35.48,27.zip[avenger/simpole.tlb]
Adware:Adware/SecurityError Not disinfected C:\avenger\backup.zip[avenger/atmclk.exe]
Spyware:Spyware/Virtumonde Not disinfected C:\avenger\backup.zip[avenger/cbxxwxx.dll]
Adware:Adware/PurityScan Not disinfected C:\avenger\backup.zip[avenger/eufececo.dll]
Adware:Adware/SecurityError Not disinfected C:\avenger\backup.zip[avenger/regperf.exe]
Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup.zip[avenger/rmzdzx.dll]
Adware:Adware/PurityScan Not disinfected C:\avenger\backup.zip[avenger/wowexec-xyz.dll]
Adware:Adware/Yazzle Not disinfected C:\avenger\backup.zip[avenger/YazzleActiveX.ocx]
Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup.zip[avenger/yvvdj.dll]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.as1.falkag.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[fe.lea.lycos.de/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.2o7.net/]
Spyware:Cookie/FastClick Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/Casalemedia Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.casalemedia.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/WUpd Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.revenue.net/]
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.hitbox.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Yadro Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.yadro.ru/]
Spyware:Cookie/GoClick Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[c.goclick.com/]
Spyware:Cookie/HotLog Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.hotlog.ru/]
Spyware:Cookie/SpyLog Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.spylog.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt[.ehg.hitbox.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\thaag\Cookies\thaag@2o7[1].txt
Spyware:Cookie/YieldManager Not disinfected C:\Dokumente und Einstellungen\thaag\Cookies\thaag@ad.yieldmanager[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\thaag\Cookies\thaag@as-eu.falkag[2].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\thaag\Cookies\thaag@atwola[1].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\thaag\Cookies\thaag@errorsafe[1].txt
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\thaag\Cookies\thaag@hitbox[2].txt
Potentially unwanted tool:Application/DSScan.A Not disinfected C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\dsscan.zip[DSScan.exe]
Hacktool:Hacktool/Graphsniff Not disinfected C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\graphsniff.zip[graphsniff.exe]
Hacktool:Hacktool/MSNPass.F
Seitenanfang Seitenende
29.06.2006, 18:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 loesche:
C:\avenger\backup.zip
C:\avenger\backup-18.06.2006-11.35.48,27.zip
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\graphsniff.zip
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\dsscan.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2006, 15:46
thaag
...neu hier

Beiträge: 8
#23 Wie krieg ich die ganze spyware weg? Gibts da ein gutes programm das alle erkennt und löscht (oder zumindest die meisten?)
Seitenanfang Seitenende
08.07.2006, 15:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ........

C:\avenger\backup.zip
C:\avenger\backup-18.06.2006-11.35.48,27.zip
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\graphsniff.zip
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\dsscan.zip

PC neustarten

**
dann scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2006, 12:51
thaag
...neu hier

Beiträge: 8
#25

Zitat

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 23:17:49 10.07.2006

+ Scan-Ergebnis:



HKU\S-1-5-21-57989841-688789844-1957994488-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{56F1D444-11BF-4879-A12B-79CF0177F038} -> Adware.180Solutions : Keine Aktion durchgeführt.
HKU\S-1-5-21-57989841-688789844-1957994488-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EA0D26BD-9029-431A-86E0-83152D67828A} -> Adware.180Solutions : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\WinRes.WindowsResources -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\WinRes.WindowsResources.1 -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\WinRes.WindowsResources\CLSID -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\WinRes.WindowsResources\CurVer -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
C:\WINDOWS\ΑрpPatch\nоtepad.exe -> Adware.PurityScan : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Keine Aktion durchgeführt.
C:\Programme\Media Gateway\MediaGateway.exe -> Adware.WinAD : Keine Aktion durchgeführt.
C:\WINDOWS\system32\expIorer.exe -> Adware.WinAD : Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\plugins\npclntax.dll -> Adware.Zango : Keine Aktion durchgeführt.
C:\WINDOWS\system32\drivers\etc\LSASS.exe -> Backdoor.Hupigon.hk : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\Age_of_Empires_2_No_CD.zip/patch.exe -> Backdoor.Theef.111 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\war*hier nicht!*2P_TDL.exe -> Downloader.Small : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\thaag\Desktop\Firefox Downloads\Act of War - Patches\rld-aow.rar/ACTOFWAR.EXE -> Heuristic.Win32.Backdoor.IrcBot : Keine Aktion durchgeführt.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.Downloader.Win32.PopCap.a : Keine Aktion durchgeführt.
C:\Programme\Metasploit Framework\home\framework\exploits\ie_objecttype.pm -> Not-A-Virus.Exploit.CVE1359 : Keine Aktion durchgeführt.
D:\Alte Platte D\Programme\DFMa.exe -> Not-A-Virus.HackTool.Win32.Isequer : Keine Aktion durchgeführt.
D:\Alte Platte D\Programme\Brutus\BrutusA2.exe -> Not-A-Virus.PSWTool.Win32.Brutus : Keine Aktion durchgeführt.
D:\Alte Platte D\Programme\ICQ4\ip\IP sniffer.exe -> Not-A-Virus.Sniffer.Win32.Advanfer : Keine Aktion durchgeführt.
:mozilla.221:C:\Dokumente und Einstellungen\thaag\Anwendungsdaten\Mozilla\Firefox\Profiles\ltoc6c43.default\cookies.txt -
C:\Programme\Trial Reset\Trial-Reset.exe -> Trojan.LdPinch.abn : Keine Aktion durchgeführt.


::Berichtende
Ich habe danach die datein gelöscht/in quarantäne gestellt/... mit dem Spyware-Programm.
Dieser Beitrag wurde am 11.07.2006 um 13:10 Uhr von thaag editiert.
Seitenanfang Seitenende
11.07.2006, 15:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 thaag

1.
desinstallieren:
C:\Programme\Media Gateway
C:\Programme\Trial Reset

2.
Avenger:
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\expIorer.exe
C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\WINDOWS\system32\drivers\etc\LSASS.exe
3.
scanne noch mal mit ewido, aber ich denke, dass es angebracht waere, wenn du deleted (also "loeschen" waehlen wuerdest, anstelle von "Keine Aktion durchgeführt" ;)
Ich frage mich, was wir hier eigentlich machen, einen PC voller Backdoors und Crac*hier nicht!* saeubern.. und dann hast du ein Tool, was loescht und du sitzt tatenlos daneben !!!!!!!!!!!!!!!!

poste also den neuen Scanreport.

----------

wenn du Age_of_Empires_2 spielen willst, so kaufe das Spiel, denn ein Crack beinhaltet nie nur den Key, sondern auch Backdoor -Elemente, welche dem Ersteller vollen Zugang zu deinem Rechner ermoeglicht !!!
Verzichte auf Keys, cracks und Hacktools, denn tue niemandem an, was du nun wahrscheinlich tun musst...naemlich foramtieren !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.07.2006, 14:31
thaag
...neu hier

Beiträge: 8
#27 Ich hab Age of Empires auch Orignial aber ich will nicht mit CD spielen. Ich hab das mit Ewido doch gelöscht, den Report hab ich wohl ausversehen vor dem löschen erstellt.

Zu Formatieren: Ich denk nichtmal dran, mein Pc läuft perfekt!
Zu Backdoor und Co: Ich habe keine Konto-pins oder sonstiges auf meinem Pc gespeichert, falls irgendwer tatsächlich mal etwas in meinem Pc sucht und was kapput macht oder so, dann kann ich immer noch formatieren ^^

Naja da es wohl nicht erwünscht ist das ich über dieses Forum weiterhin meinen PC säubere, war das wohl mein letzer Post.

Trotz allem, Danke für das Entfernen von diesem Spyware/Virus oder was das auch immer war.

MfG Tobi
Seitenanfang Seitenende
26.10.2010, 17:38
Burgi
...neu hier

Beiträge: 2
#28 Hallo! Ich habe das selbe Problem. Auch bei mir steht am Desktop "Your System is infected". Mein HijackThis Log-File sieht folgendermaßen aus. Ich hoffe ihr könnt mir helfen! Das würde mich wirklich voll freuen! Vielen Dank im Vorhinein!

MfG Burgi


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:32:01, on 26.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Microsoft Security Essentials\msseces.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\DOKUME~1\Burgi\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\runservice.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Microsoft Security Essentials\MpCmdRun.exe
C:\Dokumente und Einstellungen\Burgi\Desktop\Downloads\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://search.conduit.com?SearchSource=10&ctid=CT1098640
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -

C:\Programme\pdfforge Toolbar\SearchSettings.dll
R3 - URLSearchHook: free-downloads.net Toolbar -

{ecdee021-0d17-467f-a1ff-c7a115230949} -

C:\Programme\free-downloads.net\tbfre1.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper -

{72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft

Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7}

- C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO -

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -

C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} -

C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} -

C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -

{DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -

C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl -

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: free-downloads.net Toolbar -

{ecdee021-0d17-467f-a1ff-c7a115230949} -

C:\Programme\free-downloads.net\tbfre1.dll (file missing)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} -

C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402}

- C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O3 - Toolbar: free-downloads.net Toolbar -

{ecdee021-0d17-467f-a1ff-c7a115230949} -

C:\Programme\free-downloads.net\tbfre1.dll (file missing)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSSE] "c:\Programme\Microsoft Security

Essentials\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame

Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge

Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe"

/min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft

Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg]

"C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32

(User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32

(User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32

(User 'Default user')
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL

Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver -

res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Google Sidewiki... -

res://C:\Programme\Google\Google

Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsid

ewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren -

res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control

Class) - http://www.vexcast.com/download/vexcast.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD}

- C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader -

{438755C2-A8BA-11D1-B96B-00A0C90312E1} -

C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon -

{8C7461EF-2B13-11d2-BE35-3078302C2030} -

C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira

GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH -

C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01)

(appdrvrem01) - Protection Technology -

C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Application Updater - Spigot, Inc. -

C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother

Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Update Service (gupdate1ca68e66b545a5c)

(gupdate1ca68e66b545a5c) - Google Inc. -

C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google -

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun

Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner -

C:\WINDOWS\runservice.exe
O23 - Service: McAfee Security Scan Component Host Service

(McComponentHostService) - McAfee, Inc. - C:\Programme\McAfee Security

Scan\2.0.181\McCHSvc.exe
O23 - Service: NMSAccess - Unknown owner -

C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind

Software - C:\Programme\Alcohol Soft\Alcohol

120\StarWind\StarWindServiceAE.exe
O23 - Service: Antivirus 2010 (userinit) - Unknown owner -

\\.\globalrootC:\WINDOWS\system32\us?rinit.exe (file missing)

--
End of file - 10875 bytes
Seitenanfang Seitenende
28.10.2010, 14:32
Burgi
...neu hier

Beiträge: 2
#29 Das Problem hat sich bei mir schon aufgelöst! Ich habe mit Freeware - Antivirus Software teilweise Probleme beheben können und die Warnung am Desktop ist nun nicht mehr da!

Vielen Dank für alle die geholfen hätten und in diesen Foren für Antworten sorgen!

Liebe Grüße

Wolfgang
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12