Programme schließen automatisch

#1 Hallo,

ich bin neu hier und habe bereits einen Thread gefunden, welcher zu meinem Thema passt. Jedoch habe ich aufgrund der Ordnung einen Thread errichten wollen und hoffe, dass mir das jetzt niemand übel nimmt.

Jedenfalls komme ich zu meinem Problem:

Seit wenigen Tagen schließt beispielsweise ICQ automatisch nach wenigen Minuten. Spiele lassen sich nicht länger als 10 Minuten spielen und der Windows Explorer lässt den Zugriff kaum zu, da er quasi direkt wieder schließt + Fehlermeldung bzw. Hinweis, dass Windows Explorer geschlossen wird. Eine typische Fehlermeldung, nichts spezielles. Ich hoffe, dass mir jemand helfen kann.

Ich habe auch mal einige Scans protokolliert, wie im Forum irgendwo beschrieben wurde. Der PC befand sich in den letzten Tagen in den Händen eines Kumpels, welcher anscheinend irgendwas damit angestellt hat, unabsichtlich.

----------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:33:17, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\NetPumper\NetPumper.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.night-culture.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://redirect.zonelabs.com/redirect/route?oem=4901&prod=0&mode=1&app=inclient&version=6.1.744.001&lang=de
&locale=de-DE&date=-86400&link_id=1&dest=buy_product
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {533000E7-0C3D-DD97-F5A8-AB1D7FE6682D} - C:\DOKUME~1\Admin\ANWEND~1\EACHPH~1\Errortrust.exe (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [trust flap dvd warn] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UP STYLE TRUST FLAP\Window32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [dogmedia] C:\DOKUME~1\Admin\ANWEND~1\DRIVEB~1\Sixth coal anti.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150367993859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150367985546
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe













##########################################################







Start Time= 05.08.2006 19:42:44,70
Running from: C:\Dokumente und Einstellungen\Admin\Eigene Dateien

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-04 11:04 520.192 C:\WINDOWS\system32\ati2sgag.exe
2006-07-23 12:07 33.340 C:\WINDOWS\system32\dbmsqlgc.dll
2006-07-23 12:07 306.688 C:\WINDOWS\IsUninst.exe
2006-07-23 12:07 24.576 C:\WINDOWS\system32\dbmsgnet.dll
2006-07-21 10:39 89.360 C:\WINDOWS\system32\VB5DB.DLL
2006-07-19 04:52 86.016 C:\WINDOWS\system32\ati2evxx.dll
2006-07-19 04:52 41.984 C:\WINDOWS\system32\ati2edxx.dll
2006-07-19 04:27 204.800 C:\WINDOWS\system32\atikvmag.dll
2006-07-19 04:22 6.684.672 C:\WINDOWS\system32\atioglx1.dll
2006-07-19 04:21 290.816 C:\WINDOWS\system32\ATIDEMGR.dll
2006-07-19 01:10 2.321.408 C:\WINDOWS\system32\TUKernel.exe
2006-06-30 15:43 796.584 C:\WINDOWS\system32\libeay32_0.9.6l.dll
2006-06-30 15:42 59.384 C:\WINDOWS\system32\vswmi.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Dit"="Dit.exe"
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"SoundMan"="SOUNDMAN.EXE"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"NetPumper"="\"C:\\Programme\\NetPumper\\NetPumperIEProxy.exe\""
"trust flap dvd warn"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\UP STYLE TRUST FLAP\\Window32.exe"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"dogmedia"="C:\\DOKUME~1\\Admin\\ANWEND~1\\DRIVEB~1\\Sixth coal anti.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,44,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"HP Software Update"="\"C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWuSchd.exe\""
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe"
"HPHmon05"="C:\\WINDOWS\\system32\\hphmon05.exe"
"HPHUPD05"="C:\\Programme\\Hewlett-Packard\\{45B6180B-DCAB-4093-8EE8-6164457517F0}\\hphupd05.exe"
"POINTER"="point32.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"PCMService"="C:\\Programme\\Medion Home CinemaXL\\PowerCinema\\PCMService.exe"




Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AAD6A5319191594D.job
C:\WINDOWS\tasks\WebReg 20060805105454.job

Completion time: 05.08.2006 19:43:09,12
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt








#################################################
DATFINDBAT




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\WINDOWS\system32

05.08.2006 19:40 2.206 wpa.dbl
05.08.2006 19:39 54.112 vsconfig.xml
05.08.2006 12:15 2.321.408 TUKernel.exe
04.08.2006 14:49 418.894 perfh009.dat
04.08.2006 14:49 70.028 perfc009.dat
04.08.2006 14:49 433.300 perfh007.dat
04.08.2006 14:49 82.680 perfc007.dat
04.08.2006 14:49 979.302 PerfStringBackup.INI
01.08.2006 15:18 230 spupdsvc.inf
25.07.2006 15:59 4.212 zllictbl.dat
19.07.2006 04:58 258.048 ati2dvag.dll
19.07.2006 04:53 114.688 atipdlxx.dll
19.07.2006 04:53 77.824 Oemdspif.dll
19.07.2006 04:53 26.112 Ati2mdxx.exe
19.07.2006 04:52 41.984 ati2edxx.dll
19.07.2006 04:52 86.016 ati2evxx.dll
19.07.2006 04:51 401.408 ati2evxx.exe
19.07.2006 04:51 53.248 ATIDDC.DLL
19.07.2006 04:44 2.732.608 ati3duag.dll
19.07.2006 04:39 1.744.416 ativvaxx.dll
19.07.2006 04:27 204.800 atikvmag.dll
19.07.2006 04:26 17.408 atitvo32.dll
19.07.2006 04:23 307.200 atiiiexx.dll
19.07.2006 04:22 6.684.672 atioglx1.dll
19.07.2006 04:22 286.720 ati2cqag.dll
19.07.2006 04:21 290.816 ATIDEMGR.dll
19.07.2006 04:13 5.136.384 atioglxx.dll
19.07.2006 01:17 212.880 FNTCACHE.DAT
18.07.2006 21:05 520.192 ati2sgag.exe
09.07.2006 13:42 42.920 vsutil_loc0407.dll
09.07.2006 13:42 392.824 vsdatant.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

05.08.2006 19:45 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}16808.html
05.08.2006 19:40 16.384 Perflib_Perfdata_f90.dat
05.08.2006 19:40 16.384 Perflib_Perfdata_f7c.dat
05.08.2006 19:40 98.304 ~DF92FC.tmp
05.08.2006 19:40 98.304 ~DFF155.tmp
05.08.2006 19:40 32.768 ~DF955B.tmp
05.08.2006 19:40 32.768 ~DFF17B.tmp
05.08.2006 19:39 16.384 Perflib_Perfdata_76c.dat
05.08.2006 19:39 16.384 ~DF7C6.tmp
05.08.2006 19:39 512 ~DF8A24.tmp
05.08.2006 19:39 16.384 ~DF8479.tmp
11 Datei(en) 345.559 Bytes
0 Verzeichnis(se), 27.662.520.320 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\WINDOWS

05.08.2006 19:43 205.006 setupact.log
05.08.2006 19:39 0 0.log
05.08.2006 19:39 813.126 setupapi.log
05.08.2006 19:39 1.716.718 WindowsUpdate.log
05.08.2006 19:38 2.048 bootstat.dat
05.08.2006 19:38 1.140 icssys.log
05.08.2006 19:37 32.574 SchedLgU.Txt
05.08.2006 17:51 1.409 QTFont.for
05.08.2006 17:51 54.156 QTFont.qfn
05.08.2006 17:00 116 NeroDigital.ini
05.08.2006 16:45 49.109 wmsetup.log
02.08.2006 13:05 99.740 iis6.log
02.08.2006 13:05 91.950 ntdtcsetup.log
02.08.2006 13:05 153.123 comsetup.log
02.08.2006 13:05 21.388 KB916281.log
02.08.2006 13:05 248.328 tsoc.log
02.08.2006 13:05 18.200 ocmsn.log
02.08.2006 13:05 1.355 imsins.log
02.08.2006 13:05 326.207 ocgen.log
02.08.2006 13:05 32.102 msgsocm.log
02.08.2006 13:05 634.673 FaxSetup.log
02.08.2006 13:05 51.290 updspapi.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\

05.08.2006 19:51 0 sys.txt
05.08.2006 19:51 9.580 system.txt
05.08.2006 19:50 869 systemtemp.txt
05.08.2006 19:48 102.704 system32.txt
05.08.2006 19:43 5.982 ComboFix.txt
05.08.2006 19:40 1.608.667.136 pagefile.sys
05.08.2006 12:15 389 boot.ini
04.08.2006 13:41 268 sqmdata00.sqm
04.08.2006 13:41 244 sqmnoopt00.sqm
15.06.2006 15:01 47.564 NTDETECT.COM
15.06.2006 15:01 251.184 ntldr
15.06.2006 12:26 0 EPG_Chan.log
15.06.2006 12:25 184 Setup.log
15.06.2006 11:54 0 IO.SYS
15.06.2006 11:54 0 CONFIG.SYS
15.06.2006 11:54 0 AUTOEXEC.BAT
15.06.2006 11:54 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
18 Datei(en) 1.609.091.056 Bytes
0 Verzeichnis(se), 27.662.503.936 Bytes frei


Ich wäre euch sehr dankbar, wenn ihr mir helfen könntet.

Liebe Grüße,
Steven

#2 luna.tiC

das ist der Swizzor-Trojaner /LOP

**
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html


C:\WINDOWS\system32\dbmsqlgc.dll

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UP STYLE TRUST FLAP\Window32.exe

poste den report

**
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

----------------------
__________
MfG Sabina

rund um die PC-Sicherheit

#3 STATUS: FINISHEDComplete scanning result of "dbmsqlgc.dll", received in VirusTotal at 08.05.2006, 20:39:15 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.05.2006 no virus found
Authentium 4.93.8 08.04.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.05.2006 no virus found
CAT-QuickHeal 8.00 08.04.2006 no virus found
ClamAV devel-20060426 08.05.2006 no virus found
DrWeb 4.33 08.05.2006 no virus found
eTrust-InoculateIT 23.72.87 08.04.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 no virus found
Ewido 4.0 08.05.2006 no virus found
Fortinet 2.77.0.0 08.05.2006 no virus found
F-Prot 3.16f 08.04.2006 no virus found
F-Prot4 4.2.1.29 08.04.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.05.2006 no virus found
McAfee 4822 08.04.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 no virus found
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.05.2006 no virus found
Sophos 4.08.0 08.05.2006 no virus found
Symantec 8.0 08.05.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.04.2006 no virus found
VirusBuster 4.3.7:9 08.05.2006 no virus found


Aditional Information
File size: 33340 bytes
MD5: 70994ac5afd001b36c2cf5087d718965
SHA1: 60b9eadc8997bfa2280726df03a3aa4ff59ac22a






----





STATUS: FINISHEDComplete scanning result of "Window32.exe", received in VirusTotal at 08.05.2006, 20:43:26 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.05.2006 HEUR/Crypted
Authentium 4.93.8 08.04.2006 no virus found
Avast 4.7.844.0 08.04.2006 Win32:Swizzor-gen
AVG 386 08.05.2006 Lop.H
BitDefender 7.2 08.05.2006 GenPack:Trojan.Swizzor.IA
CAT-QuickHeal 8.00 08.04.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.05.2006 no virus found
DrWeb 4.33 08.05.2006 Trojan.Swizzor
eTrust-InoculateIT 23.72.87 08.04.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 Win32/Swizzor
Ewido 4.0 08.05.2006 no virus found
Fortinet 2.77.0.0 08.05.2006 suspicious
F-Prot 3.16f 08.04.2006 no virus found
F-Prot4 4.2.1.29 08.04.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.05.2006 not-a-virus:AdWare.Win32.Lop.bb
McAfee 4822 08.04.2006 Swizzor.gen
Microsoft 1.1508 08.04.2006 C2.Lop
NOD32v2 1.1694 08.05.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.90.23 08.04.2006 Swizzor.JG
Panda 9.0.0.4 08.05.2006 Adware/Lop
Sophos 4.08.0 08.05.2006 Troj/Swizz-Fam
Symantec 8.0 08.05.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 Trojan/Downloader.Swizzor
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.04.2006 AdWare.Win32.Lop.ag
VirusBuster 4.3.7:9 08.05.2006 no virus found


Aditional Information
File size: 368582 bytes
MD5: 61debcc02712e50dfcf3413d77b80c36
SHA1: ae55304294b6e63373b358720f288246d665f5d7

----



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Anwendungsdaten

18.06.2006 18:41 <DIR> Adobe
18.06.2006 18:41 <DIR> AdobeUM
24.07.2006 15:27 <DIR> Ahead
08.07.2006 12:40 <DIR> APPLEC~1 Apple Computer
04.08.2006 11:12 <DIR> ATI
30.06.2006 00:16 <DIR> DRIVEB~1 Drivebike
05.08.2006 17:55 <DIR> EACHPH~1 each phone
20.06.2006 02:19 56.592 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
03.08.2006 12:48 <DIR> Google
15.06.2006 12:33 <DIR> Help
15.06.2006 12:55 <DIR> ICQLite
15.06.2006 12:00 <DIR> IDENTI~1 Identities
05.08.2006 17:36 <DIR> Lavasoft
15.06.2006 13:51 <DIR> MACROM~1 Macromedia
15.06.2006 23:24 <DIR> Mozilla
30.06.2006 00:16 <DIR> NETPUM~1 NetPumper
22.07.2006 16:47 <DIR> PEGASY~1 Pegasys Inc
17.06.2006 09:51 <DIR> Shareaza
23.07.2006 12:08 <DIR> Sony
08.07.2006 16:36 <DIR> TUNEUP~1 TuneUp Software
1 Datei(en) 56.592 Bytes
19 Verzeichnis(se), 27.628.531.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

15.06.2006 12:45 305 ADDR_F~1.HTM addr_file.html
15.06.2006 12:15 <DIR> Adobe
05.08.2006 12:21 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
28.06.2006 20:31 <DIR> APPLEC~1 Apple Computer
15.06.2006 12:25 <DIR> CYBERL~1 CyberLink
02.08.2006 19:10 <DIR> Google
19.06.2006 18:34 212 HPZINS~1.LOG hpzinstall.log
01.07.2006 12:26 1.359 QTSBAN~1 QTSBandwidthCache
23.07.2006 12:06 <DIR> Sony
19.07.2006 01:10 <DIR> TUNEUP~1 TuneUp Software
04.07.2006 15:58 <DIR> UPSTYL~1 UP STYLE TRUST FLAP
15.06.2006 14:03 <DIR> WINDOW~1 Windows Genuine Advantage
3 Datei(en) 1.876 Bytes
9 Verzeichnis(se), 27.628.531.712 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4884-BFC7

Verzeichnis von C:\WINDOWS\tasks

05.08.2006 20:00 264 AAD6A5319191594D.job
29.08.2002 14:00 65 desktop.ini
05.08.2006 19:38 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 27.628.531.712 Bytes frei



DANKE IM VORAUS!!

#4 luna.tiC

Information Swizzor
http://virus-protect.org/artikel/spyware/lop1.html

--------------------------------------------------------------------------------

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {533000E7-0C3D-DD97-F5A8-AB1D7FE6682D} - C:\DOKUME~1\Admin\ANWEND~1\EACHPH~1\Errortrust.exe (file missing)

O4 - HKLM\..\Run: [trust flap dvd warn] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UP STYLE TRUST FLAP\Window32.exe

O4 - HKCU\..\Run: [dogmedia] C:\DOKUME~1\Admin\ANWEND~1\DRIVEB~1\Sixth coal anti.exe

O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm

PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen

**
"Start -> Einstellungen -> Systemsteuerung -> Software"
->Netpumper - deinstallieren !!

**
loeschen:

C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Drivebike
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\each phone
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UP STYLE TRUST FLAP

**
boote wieder in den normalmodus

**
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h AAD6A5319191594D.job
del AAD6A5319191594D.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

**
CleanUp anwenden
http://virus-protect.org/cleanup.html

**
scanne mit Panda und lösche alles manuell, was noch angezeigt wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Alles gemacht!!!

Jedoch: Trotzdem schließt dich mein Windows Media Player 11.
Also Problem weiterhin anwesend !

Kannst du mir weiterhin helfen?


Dankeschön!!

#6 Ich misch mich mal kurz ein, aktualisiere dein Antivir und stelle es ein, wie hier beschrieben: http://board.protecus.de/t23979.htm .

Scanne deinen Rechner und poste, was nun noch alles gefunden wird. Wichtig ist das update und bitte noch nicht das loeschen lassen, was gefunden wird!

Mit aktiver Heursitik sollte Antivir alle derzeitigen Lop Dateien finden koennen(heur/Crypted)
__________
MfG Ralf
SEO-Spam Hunter

#7 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 6. August 2006 16:47

Es wird nach 474962 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Admin
Computername: STEVENPC

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 15.06.2006 10:07:00
AVSCAN.DLL : 7.0.0.42 57384 15.06.2006 10:07:00
LUKE.DLL : 7.0.0.42 118824 15.06.2006 10:07:00
LUKERES.DLL : 7.0.0.42 32808 15.06.2006 10:07:00
ANTIVIR0.VDF : 6.35.0.1 7371264 15.06.2006 10:06:59
ANTIVIR1.VDF : 6.35.0.168 730112 15.06.2006 10:06:59
ANTIVIR2.VDF : 6.35.1.50 373248 15.06.2006 10:06:59
ANTIVIR3.VDF : 6.35.1.55 58880 15.06.2006 10:06:59
AVEWIN32.DLL : 7.1.1.2 1782272 15.06.2006 10:07:00
AVPREF.DLL : 7.0.0.1 53288 15.06.2006 10:07:00
AVREP.DLL : 6.35.1.25 737320 15.06.2006 10:07:00
AVRPBASE.DLL : 7.0.0.0 2162728 15.06.2006 10:45:14
AVPACK32.DLL : 7.1.0.1 335912 15.06.2006 10:07:00
AVREG.DLL : 6.31.0.90 27688 15.06.2006 10:07:00
NETNT.DLL : 6.32.0.0 6696 15.06.2006 10:07:01
NETNW.DLL : 6.32.0.0 9768 15.06.2006 10:07:01
RCIMAGE.DLL : 7.0.0.71 1642536 15.06.2006 10:07:01
RCTEXT.DLL : 7.0.0.75 77864 15.06.2006 10:07:01

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 6. August 2006 16:47


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 42 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 18 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Shareaza\Data\TigerTree.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\backups\backup-20060805-170227-788.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453901f7.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\ICQ Lite\307583591\Nicky_261261508\prolangeweile.exe
[FUND] Enthält Signatur des Scherzprogrammes JOKE/VB.AI.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45450211.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_77c.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_7b8.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_d08.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_d10.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\~DF2D82.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\NetPumper\ZM\NP_0110_1.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '453505a6.qua' verschoben!
C:\Programme\Pegasys Inc\TMPGEnc 4.0 XPress Testversion\TMPGEnc4XPTrial.exe
[FUND] Enthält verdächtigen Code: HEUR/Virus.Win32
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '452605aa.qua' verschoben!
C:\Programme\Pegasys Inc\TMPGEnc 4.0 XPress Testversion\VFAPIFrameServer.exe
[FUND] Enthält verdächtigen Code: HEUR/Virus.Win32
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '451705a3.qua' verschoben!
C:\WINDOWS\SoftwareDistribution\EventCache\{45D32845-4354-413E-93CA-3F9C1C897BD4}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT02cdc.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT03b32.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\ICQ Lite\307583591\zabbes_231167260\Langeweile1_1.exe
[FUND] Enthält Signatur des Scherzprogrammes JOKE/Brod.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45441257.qua' verschoben!


Ende des Suchlaufs: Sonntag, 6. August 2006 18:06
Benötigte Zeit: 1:19:00 min

Der Suchlauf wurde vollständig durchgeführt.

5648 Verzeichnisse wurden überprüft
277746 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1715 Archive wurden durchsucht
32 Warnungen
2 Hinweise

#8 C:\Programme\NetPumper - sollte natuerlich desinstalliert werden, ist der ursprung aller probleme.............
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Ich hatte ihn bereits installiert aber als ich eben noch einmal im Windows Explorer nachgesehen hatte, fand ich den Ordner inkl. einem Unterordner vor, welcher jedoch leer war. Hab ihn, also "C:\Programme\NetPumper" gelöscht.

Ich beobachte heute dann nochmal, ob der PC den Geist aufgibt oder nicht, jedenfalls bedanke ich mich für die Mühe. Find ich echt klasse von euch!!!


Vielen lieben Dank!
Steven