Spyfalcon + Purescan + Hoax.Win32.Renos.da

#1 Hallo,

vielen Dank im voraus für jegliche Hilfestellung. Ich habe seit 2 Tagen Spyfalcon + Purescan auf dem Notebook. Diese beiden Programme treten nur noch vereinzelt auf. Neu hinzugekommen ist Hoax.Win32.renos.da. Bis gestern abend hatte ich darüberhinaus auch noch einen Win32.Downloader...???. dieser wird aber nicht mehr von GData Antivirus gefunden. Ich habe selber schon "versucht" die Dateien ausfindig zu machen, was mir aber auch nicht weiter hilft, da ich nicht weiß ob das System erfolgreich gesäubert wurde. Ich bitte daher um die Hilfe des Forums.

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 18:51:58, on 13.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVK\AVKWCtl.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVKTray\AVKTray.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\Firewall\GDFirewallTray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\G DATA InternetSecurity praesentiert von AOL\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Galar\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://www.macromedia.com/go/inproductreg?v=2&Product=Dreamweaver&loc=
de_de&Platform=Win&1001=WPD800%2D02890%2D80331
%2D01298
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity praesentiert von AOL\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146397026032
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame

Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von
AOL\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von
AOL\AVK\AVKWCtl.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: G DATA Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity praesentiert von
AOL\Firewall\GDFwSvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation -
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp
Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe


datfind:

system32

12.05.2006 10:59 2.422 wpa.dbl
11.05.2006 16:20 5.040 stdole3.tlb
04.05.2006 19:48 364.068 perfh009.dat
04.05.2006 19:48 45.742 perfc009.dat
04.05.2006 19:48 371.602 perfh007.dat
04.05.2006 19:48 55.184 perfc007.dat
04.05.2006 19:48 843.752 PerfStringBackup.INI
03.05.2006 21:26 5.818.784 MRT.exe
26.04.2006 16:40 52.858 interceptor.sys
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
24.03.2006 06:37 49.152 wdigest.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
13.03.2006 19:12 188.200 FNTCACHE.DAT
10.03.2006 06:09 5.533.696 wmp.dll
08.03.2006 10:42 4.212 zllictbl.dat
04.03.2006 05:34 664.064 wininet.dll


systemtemp

13.05.2006 18:56 4 PMShared
13.05.2006 18:48 16.384 Perflib_Perfdata_884.dat
13.05.2006 18:37 30 StatusRx.log
01.01.1970 02:00 2.759 erivys.ABI

system

13.05.2006 18:55 578 win.ini
13.05.2006 18:47 159 wiadebug.log
13.05.2006 18:47 713.436 WindowsUpdate.log
13.05.2006 18:47 50 wiaservc.log
13.05.2006 18:47 0 0.log
13.05.2006 18:47 2.048 bootstat.dat
13.05.2006 18:46 32.686 SchedLgU.Txt
13.05.2006 18:20 886.959 setupapi.log
13.05.2006 00:00 116 NeroDigital.ini
12.05.2006 14:02 193.518 setupact.log
10.05.2006 22:55 574.184 iis6.log
10.05.2006 22:55 155.614 comsetup.log
10.05.2006 22:55 97.720 ntdtcsetup.log


sys


13.05.2006 19:01 0 sys.txt
13.05.2006 19:01 8.642 system.txt
13.05.2006 19:01 442 systemtemp.txt
13.05.2006 19:00 104.678 system32.txt
13.05.2006 18:47 805.306.368 pagefile.sys
12.05.2006 14:00 3.566 smitfiles.txt
12.05.2006 13:37 114.949 dirdat.txt
05.05.2006 14:14 1.083 codec.txt
28.04.2006 22:36 1.120 INSTALL.LOG
18.02.2006 23:53 211 boot.ini
18.02.2006 23:46 47.564 NTDETECT.COM
18.02.2006 23:46 251.184 ntldr
18.02.2006 23:11 0 IO.SYS
18.02.2006 23:11 0 CONFIG.SYS
18.02.2006 23:11 0 MSDOS.SYS
18.02.2006 23:11 0 AUTOEXEC.BAT

ich hoffe das es eine ausreichende Grundlage zur Analyse meines Problemes ist.

Vielen Dank

#2 ich finde nur noch:-> ist zu loeschen:

C:\WINDOWS\System32\stdole3.tlb

und im HijackThis fixen:
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)

------------------------
**
deaktiviere die Systemwiederherstellung

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 vielen lieben dank,

kaspersky hat nichts gefunden ->report leer

das ist eine sehr gute nachricht (?)


kann ich nun sicher sein das kein bekannter trojaner mehr in meinem system ist?


angenehme nacht

Fliver