Home » Viren, Trojaner & Malware Forum » Vcodec entlädt Schädlingscocktail auf PC » Themenansicht

Vcodec entlädt Schädlingscocktail auf PC
#0
25.01.2006, 04:44
Megalomanic
Member

Beiträge: 21
#1 Wie ich mittlerweile weiß, gehört Vcodec nicht zu den Codecs, die der MS Mediaplayer benötigt. Die Installation dieses Codecs entlädt offensichtlich einen unliebsamen Schädlingscocktail auf dem heimischen PC und sorgt somit für stimmungsvolle Abwechslung im PC-Alltag.

Den Trojaner Zlob.df habe ich bereits gekillboxt, Vcodec selbst ist zumindest zeitweise noch mit Spybot nachweisbar. Spybot meldet außerdem einen hartnäckigen zweiteiligen Fund, den ich aus der Registry einfach nicht löschen kann.

SPYBOT-REPORT:
ErrorSafe: Einstellungen (Registrierungsdatenbank-Schlüssel, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ERSSDD

ErrorSafe: Einstellungen (Registrierungsdatenbank-Schlüssel, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSSDD

Log: Activity: SchedLgU.Txt (Datei sichern, fixing failed)
C:\WINDOWS\SchedLgU.Txt

MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-2052111302-1647877149-839522115-1004\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

Windows Explorer: User Assistant history files (7 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-2052111302-1647877149-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-09-14 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-01-20 Includes\Cookies.sbi (*)
2006-01-20 Includes\Dialer.sbi (*)
2006-01-20 Includes\Hijackers.sbi (*)
2006-01-20 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-01-20 Includes\Malware.sbi (*)
2006-01-20 Includes\PUPS.sbi (*)
2006-01-20 Includes\Revision.sbi (*)
2006-01-20 Includes\Security.sbi (*)
2006-01-20 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2006-01-20 Includes\Trojans.sbi (*)


Außerdem meldet E-Scan den Fund eines Keyloggers und weitere Spyware.

E-SCAN-CHECK-REPORT:
Object "alexa Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine

Aktion vorgenommen.
Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System!

Action Taken: Keine Aktion vorgenommen.
Object "bearshare Spyware/Adware" found in File

System! Action Taken: Keine Aktion vorgenommen.
Object "WhistleSoftware Spyware/Adware" found

in File System! Action Taken: Keine Aktion vorgenommen.
Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object

"C:\WINDOWS\Downloaded Program Files\StarInstall.ocx". Action Taken: Keine Aktion

vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\hlink.srg" refers to invalid object

"C:\Programme\Microsoft Office\Office\HLINK.SRG". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\misc.srg" refers to invalid object

"C:\Programme\Microsoft Office\Office\MISC.SRG". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\MSGraph" refers to invalid object

"C:\Programme\Microsoft Office\Office\GRAPH8.EXE". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\mso97.dll" refers to invalid object

"C:\Programme\Microsoft Office\Office\MSO97.DLL". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\msroute.dll" refers to invalid object

"C:\Programme\Microsoft Office\Office\MSROUTE.DLL". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\osa.exe" refers to invalid object

"C:\Programme\Microsoft Office\Office\OSA.EXE". Action Taken: Keine Aktion vorgenommen.
Entry

"HKLM\Software\Microsoft\Shared Tools\osaintl.dll" refers to invalid object

"C:\Programme\Microsoft Office\Office\OSAINTL.DLL". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Shared Tools\VBA Off97 Help" refers to invalid object

"C:\Programme\Microsoft Office\Office\VBAOFF8.HLP". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to

invalid object "Intellihance 3.0". Action Taken: Keine Aktion vorgenommen.
Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid

object "LHTTSGED". Action Taken: Keine Aktion vorgenommen.
Entry

"HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid

object "tv_enua". Action Taken: Keine Aktion vorgenommen.
Entry

"HKCR\CLSID\{8D3F1E2E-5CA0-0966-FE92-19B4B48C7840}" refers to invalid object

"G:\Programme\Microsoft Picture It! PhotoPub\SCTV.DLL". Action Taken: Keine Aktion

vorgenommen.
Entry "HKCR\CLSID\{9BF34098-E8A2-4050-5549-290AC1348D22}" refers to invalid

object "G:\Programme\Microsoft Picture It! PhotoPub\SCTV.DLL". Action Taken: Keine Aktion

vorgenommen.
Entry "HKCR\CLSID\{CDC2C92D-B6A5-3B2F-4F23-524A9D3303E0}" refers to invalid

object "G:\Programme\Microsoft Picture It! PhotoPub\SCTV.DLL". Action Taken: Keine Aktion

vorgenommen.
Entry "HKCR\CLSID\{E52E75C6-80CD-D1E3-767A-960FE8250F53}" refers to invalid

object "G:\Programme\Microsoft Picture It! PhotoPub\SCTV.DLL". Action Taken: Keine Aktion

vorgenommen.
Entry "HKCR\avi_auto_file\shell\open\command" refers to invalid object

""G:\MAGIX\Media_Manager\MediaManager.exe" "%1"". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\jpg_auto_file\shell\open\command" refers to invalid object

""G:\MAGIX\Media_Manager\MediaManager.exe" "%1"". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\MKI_auto_file\shell\open\command" refers to invalid object

""G:\MAGIX\Media_Manager\MagixLoader.exe" "%1"". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\mks_auto_file\shell\open\command" refers to invalid object

"G:\MAGIX\MEDIA_~1\MEDIAM~1.EXE "%1"". Action Taken: Keine Aktion vorgenommen.
Entry

"HKCR\mp2_auto_file\shell\open\command" refers to invalid object

""G:\MAGIX\Media_Manager\MediaManager.exe" "%1"". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\mp3_auto_file\shell\open\command" refers to invalid object

""G:\MAGIX\Media_Manager\MediaManager.exe" "%1"". Action Taken: Keine Aktion vorgenommen.
Entry "HKCR\wav_auto_file\shell\open\command" refers to invalid object

""G:\MAGIX\Media_Manager\MediaManager.exe" "%1"". Action Taken: Keine Aktion vorgenommen.


Der Vollständigkeit wegen folgt nun noch der Auszug von HijackThis.

Logfile of HijackThis v1.99.0
Scan saved at 01:07:21, on 25.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\SBAudigy\AudioHQ\AHQTBU.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\CTHELPER.EXE
C:\Virenbekämpfung\Spybot\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WALLPA~1\WALLPA~1.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Virenbekämpfung\ewido security suite\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\WINDOWS\System32\cidaemon.exe
E:\MadTracker\MT2.exe
C:\Programme\SBAudigy\Demo\data\eacontrol.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Virenbekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: Translator - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - E:\Promt\PRMTIE\prmtie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\SBAudigy\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] e:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Virenbekämpfung\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [WallPaper] C:\WALLPA~1\WALLPA~1.EXE /h
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Promt\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Translate - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Promt\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Promt\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Customize translation options - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Promt\PRMTIE\options.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Dialerschutz Dienst - Unknown - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: ewido security suite control - ewido networks - C:\Virenbekämpfung\ewido security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

__________
Computer schaffen Probleme, die es zuvor niemals gab!
Seitenanfang Seitenende
25.01.2006, 05:52
raman
Moderator

Beiträge: 7805
#2 Nutze Smitrem: http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
herunterladen, in einen Ordner entpacken(merken!), dann im abgesicherten Modus starten http://www.heise.de/security/artikel/44133
Die runthis.bat im entpackten Ordner starten und den Anweisungen folgen. Neu starten und schauen, ob alles wieder normal ist.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2006, 17:16
Megalomanic
Member

Themenstarter

Beiträge: 21
#3 Auch Smitrem kann im abgesicherten Modus die Fehler und Schädlinge nicht beseitigen. Nach dem Neustart bleibt alles, wie gehabt. Windows läßt sich nur noch selten auf normalem Wege herunterfahren.

MfG Megalomanic
__________
Computer schaffen Probleme, die es zuvor niemals gab!
Seitenanfang Seitenende
25.01.2006, 17:56
raman
Moderator

Beiträge: 7805
#4 Dann machen wir es etwas anders. Haenge bitte den Report, den die Datfindbat erstellt in eine Antwort von dir an(ueber "Anhang").
http://board.protecus.de/t21471-1.htm#213087

Poste dazu ein neues Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2006, 18:22
Megalomanic
Member

Themenstarter

Beiträge: 21
#5 Aktuelles HijackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 18:20:54, on 25.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Virenbekämpfung\ewido security suite\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
C:\Programme\SBAudigy\AudioHQ\AHQTBU.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\CTHELPER.EXE
C:\Virenbekämpfung\Spybot\TeaTimer.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WALLPA~1\WALLPA~1.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Virenbekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: Translator - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - E:\Promt\PRMTIE\prmtie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\SBAudigy\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] e:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Virenbekämpfung\Spybot\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Virenbekämpfung\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [WallPaper] C:\WALLPA~1\WALLPA~1.EXE /h
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Promt\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Translate - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - E:\Promt\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Promt\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Customize translation options - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - E:\Promt\PRMTIE\options.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Dialerschutz Dienst - Unknown - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: ewido security suite control - ewido networks - C:\Virenbekämpfung\ewido security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

Anhang: datfindbat.txt

__________
Computer schaffen Probleme, die es zuvor niemals gab!
Seitenanfang Seitenende
25.01.2006, 18:45
raman
Moderator

Beiträge: 7805
#6 Super! So, fix bitte folgendes im abgesicherten Modus:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Virenbekämpfung\Spybot\SpybotSD.exe" /autocheck
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Dann benenne folgendes im Windows\system32 Ordner um:

24.01.2006 21:01 16.832 amcompat.tlb
24.01.2006 21:01 23.392 nscompat.tlb
24.01.2006 20:05 467.600 FNTCACHE.DAT <----> loeschen!
22.01.2006 22:13 128.000 Dsslji.dat

Packe es mit rar oder Zip und schicke es an virus@protecus.de

Loesche alles in diesem Ordner:
C:\DOKUME~1\PETERL~1\LOKALE~1\Temp
geht auch mit der DAtentraegerbereinigung:

http://support.microsoft.com/default.aspx?scid=kb;de;315246

Du kannst auch noch die smitfiles.txt anhaengen, die sich in c:\ befindet
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2006, 21:44
Megalomanic
Member

Themenstarter

Beiträge: 21
#7 Gesagt, getan, wie geht es nun weiter?

MfG
Megalomanic
__________
Computer schaffen Probleme, die es zuvor niemals gab!
Seitenanfang Seitenende
25.01.2006, 21:53
raman
Moderator

Beiträge: 7805
#8 Gibt es noch besondere Probleme?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2006, 22:19
Megalomanic
Member

Themenstarter

Beiträge: 21
#9 Ich denke schon. Spybot nervt mich noch immer bei jedem Systemstart mit dem roten Eintrag "ErrorSafe" und E-Scan meldet noch immer die eingangs geposteten Schädlinge. Außerdem ist jetzt auch noch mein T-Online-Infocockpit verschwunden, das mir den Zugriff auf's Offline E-mail-Center erlaubt. Auch ein Neustart bringt es mir nicht wieder zurück.

MfG
Megalomanic
__________
Computer schaffen Probleme, die es zuvor niemals gab!
Seitenanfang Seitenende
25.01.2006, 22:25
raman
Moderator

Beiträge: 7805
#10 Zu Spybot, das kann ein Bug sein. Es ist derzeit eine Alpha Signatur im Test, die da etwas aendern soll, die Eintraege von Escan kannst du ignorieren.
Zu deinem T-Online-Infocockpit kann ich dir nichts sagen, nur das wir das nicht mit unsren aktionen beaeinflusst haben. Du solltest es doch unter Start/Programme finden koennen?

Achso, ein Update auf SP2 waere auch noch ratsam.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2006, 22:39
Megalomanic
Member

Themenstarter

Beiträge: 21
#11 Ok, dann bin ich ja beruhigt. E-Scan scheint es mit der Präzision wohl nicht so genau zu nehmen. Das Update auf SP2 war mir bislang Online nicht möglich, warum, das wissen noch nicht einmal die Herrschaften bei Microsoft. Ich habe aber neuerdings eine SP2-CD, die ich in Kürze installieren werde.
Ich danke Dir für Deine schnelle und kompetente Hilfe und hoffe, dass ich sie nicht allzuschnell wieder beanspruchen muß. ;)

MfG
Megalomanic
__________
Computer schaffen Probleme, die es zuvor niemals gab!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1