Trojaner TR/RKDice.A lässt sich nicht löschen

#1 Hallo zusammen!

Ist, glaube ich, nichts Neues- ich habe mich schon durch diverse Topics gelesen, die das gleiche Thema haben. Aber die Vorschläge haben alles nichts genützt.
Jedenfalls schlägt mein AntiVir dauernd an, wenn er beim automatischen Suchen auf die Datei C:\WINDOWS\system32\lpt9.fla stößt. Wenn ich löschen will, verschwindet der Hinweis und kommt kurz darauf wieder. Ist aber immer dieselbe Datei, insofern ist es unwahrscheinlich, dass er sich durch Klicken vermehrt.
Wäre nett, wenn ihr mir helfen könntet!

P.S.: Ich bin kein Informatiker...
_________
Es grüßt das Mutmeltier.

#2 Was du hast, ist eines der fiessesten Rootkits, die es derzeit gibt. Das Rootkit zu deaktivieren ist nicht so das Problem, aber die Datei an sich zu loeschen, ist schwerer.

Gib uns erstmal diese INformationen: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Logfile of HijackThis v1.99.1
Scan saved at 14:06:25, on 20.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Leonhard\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [bbxo17.exe] C:\WINDOWS\Temp\bbxo17.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [bbxo32.exe] C:\WINDOWS\Temp\bbxo32.exe
O4 - HKLM\..\Run: [bbxo33.exe] C:\WINDOWS\Temp\bbxo33.exe
O4 - HKLM\..\Run: [bbxo34.exe] C:\WINDOWS\Temp\bbxo34.exe
O4 - HKLM\..\Run: [bbxo35.exe] C:\WINDOWS\Temp\bbxo35.exe
O4 - HKLM\..\Run: [bbxo36.exe] C:\WINDOWS\Temp\bbxo36.exe
O4 - HKLM\..\Run: [bbxo37.exe] C:\WINDOWS\Temp\bbxo37.exe
O4 - HKLM\..\Run: [bbxo38.exe] C:\WINDOWS\Temp\bbxo38.exe
O4 - HKLM\..\Run: [bbxo39.exe] C:\WINDOWS\Temp\bbxo39.exe
O4 - HKLM\..\Run: [bbxo40.exe] C:\WINDOWS\Temp\bbxo40.exe
O4 - HKLM\..\Run: [bbxo41.exe] C:\WINDOWS\Temp\bbxo41.exe
O4 - HKLM\..\Run: [bbxo42.exe] C:\WINDOWS\Temp\bbxo42.exe
O4 - HKLM\..\Run: [bbxo43.exe] C:\WINDOWS\Temp\bbxo43.exe
O4 - HKLM\..\Run: [bbxo44.exe] C:\WINDOWS\Temp\bbxo44.exe
O4 - HKLM\..\Run: [bbxo45.exe] C:\WINDOWS\Temp\bbxo45.exe
O4 - HKLM\..\Run: [bbxo46.exe] C:\WINDOWS\Temp\bbxo46.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{45100E6B-CBB5-4925-869B-BE6598C6B36A}: NameServer = 217.237.151.115 217.237.150.33
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt9.fla
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
_______________________________________________________

Ich habe bei CleanUp leider zuerst eine falsche Einstellung gewählt, sorry!
_______________________________________________________

06-08-20 14:14:51,32
ComboFix 06.08.18 - Running from: C:\Dokumente und Einstellungen\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-07-20 to 2006-08-20 ))))))))))))))))))))))))))))))))))


2006-08-19 16:11 1,003,008 C:\WINDOWS\system32\esent.dll
2006-08-19 14:54 22,752 C:\WINDOWS\system32\spupdsvc.exe
2006-08-19 14:46 7,680 C:\WINDOWS\system32\bitsprx2.dll
2006-08-19 14:46 7,168 C:\WINDOWS\system32\bitsprx3.dll
2006-08-19 14:46 331,776 C:\WINDOWS\system32\winhttp.dll
2006-08-19 14:46 17,408 C:\WINDOWS\system32\qmgrprxy.dll
2006-08-19 00:20 57,384 C:\WINDOWS\system32\avsda.dll
2006-08-18 22:39 967 C:\WINDOWS\system32\SETUP.PIF
2006-08-18 22:39 774,960 C:\WINDOWS\system32\IR41.DLL
2006-08-18 22:39 59 C:\WINDOWS\system32\setup.bat
2006-08-18 22:39 12,800 C:\WINDOWS\system32\ACMCMPRS.DLL


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-19 11:19 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-19 11:19 -------- d-------- C:\Dokumente und Einstellungen\Leonhard\Anwendungsdaten\Mozilla
2006-08-19 00:20 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-18 18:00 172032 --a------ C:\WINDOWS\system32\cncs32.dll
2006-07-13 10:51 612864 --a------ C:\WINDOWS\system32\xpsp2res.dll
2006-06-02 11:04 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-05-28 16:22 90112 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-05-21 10:25 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"="\"C:\\Programme\\Adaptec\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"rock"="rock.exe"
"bbxo17.exe"="C:\\WINDOWS\\Temp\\bbxo17.exe"
"ICQ Lite"="\"D:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"E:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"bbxo32.exe"="C:\\WINDOWS\\Temp\\bbxo32.exe"
"bbxo33.exe"="C:\\WINDOWS\\Temp\\bbxo33.exe"
"bbxo34.exe"="C:\\WINDOWS\\Temp\\bbxo34.exe"
"bbxo35.exe"="C:\\WINDOWS\\Temp\\bbxo35.exe"
"bbxo36.exe"="C:\\WINDOWS\\Temp\\bbxo36.exe"
"bbxo37.exe"="C:\\WINDOWS\\Temp\\bbxo37.exe"
"bbxo38.exe"="C:\\WINDOWS\\Temp\\bbxo38.exe"
"bbxo39.exe"="C:\\WINDOWS\\Temp\\bbxo39.exe"
"bbxo40.exe"="C:\\WINDOWS\\Temp\\bbxo40.exe"
"bbxo41.exe"="C:\\WINDOWS\\Temp\\bbxo41.exe"
"bbxo42.exe"="C:\\WINDOWS\\Temp\\bbxo42.exe"
"bbxo43.exe"="C:\\WINDOWS\\Temp\\bbxo43.exe"
"bbxo44.exe"="C:\\WINDOWS\\Temp\\bbxo44.exe"
"bbxo45.exe"="C:\\WINDOWS\\Temp\\bbxo45.exe"
"bbxo46.exe"="C:\\WINDOWS\\Temp\\bbxo46.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="D:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:ff,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Completion time: 20.08.2006 14:16:45.17
ComboFix.txt
_____________________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4049-1A01

Verzeichnis von C:\

20.08.2006 14:18 0 sys.txt
20.08.2006 14:18 13.797 system.txt
20.08.2006 14:18 136 systemtemp.txt
20.08.2006 14:17 96.522 system32.txt
20.08.2006 14:12 435.736.576 hiberfil.sys
20.08.2006 14:12 603.979.776 pagefile.sys

----

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4049-1A01

Verzeichnis von C:\WINDOWS

20.08.2006 14:13 1.780 win.ini
20.08.2006 14:12 0 0.log
20.08.2006 14:12 159 wiadebug.log
20.08.2006 14:12 2.048 bootstat.dat
20.08.2006 14:11 1.373.390 WindowsUpdate.log
20.08.2006 14:11 32.626 SchedLgU.Txt
20.08.2006 14:11 50 wiaservc.log
20.08.2006 12:42 2.151 spupdsvc.log
20.08.2006 12:38 107.152 ntdtcsetup.log
20.08.2006 12:38 74.290 KB922616.log
20.08.2006 12:38 262.119 ocgen.log
20.08.2006 12:38 500.618 FaxSetup.log
20.08.2006 12:38 77.883 iis6.log
20.08.2006 12:38 179.578 comsetup.log
20.08.2006 12:38 17.940 ocmsn.log
20.08.2006 12:38 196.492 tsoc.log
20.08.2006 12:38 25.117 msgsocm.log
20.08.2006 12:38 1.374 imsins.log
20.08.2006 12:38 262.066 setupapi.log
20.08.2006 12:38 39.906 updspapi.log
20.08.2006 12:38 77.224 KB921398.log
20.08.2006 12:38 1.374 imsins.BAK
20.08.2006 12:37 72.014 KB920683.log
20.08.2006 12:36 72.066 KB920670.log
20.08.2006 12:36 71.545 KB917422.log
20.08.2006 12:35 57.779 KB918899-IE6SP1-20060725.123917.log
20.08.2006 12:35 65.870 KB921883.log
20.08.2006 12:34 68.021 KB917159.log
20.08.2006 12:33 68.429 KB914388.log
20.08.2006 12:33 43.742 WgaNotify.log
20.08.2006 12:32 56.183 KB911280.log
20.08.2006 12:32 33.987 KB833407.log
20.08.2006 12:31 46.806 KB917953.log
20.08.2006 12:31 48.630 KB913580.log
20.08.2006 12:30 33.397 KB914798.log
20.08.2006 12:29 47.204 KB917344.log
20.08.2006 12:28 30.258 KB918439-IE6SP1-20060530.145346.log
20.08.2006 12:28 49.205 KB914389.log
20.08.2006 12:26 33.177 KB917734.log
20.08.2006 12:25 50.601 KB908531.log
20.08.2006 12:24 48.313 KB911562.log
20.08.2006 12:24 32.239 KB911567-OE6SP1-20060316.165634.log
20.08.2006 12:23 32.863 KB911564.log
20.08.2006 12:22 48.696 KB911927.log
20.08.2006 12:22 44.779 KB912919.log
20.08.2006 12:21 44.040 KB908519.log
20.08.2006 12:21 33.855 KB910437.log
20.08.2006 12:20 40.558 KB835409.log
20.08.2006 12:20 46.731 KB896424.log
20.08.2006 12:19 45.147 KB900725.log
20.08.2006 12:19 37.015 KB905495.log
20.08.2006 12:18 39.363 KB905749.log
20.08.2006 12:18 25.097 KB904706.log
20.08.2006 12:17 39.232 KB905414.log
20.08.2006 12:17 40.047 KB901017.log
20.08.2006 12:17 42.066 KB902400.log
20.08.2006 12:15 30.281 KB896423.log
20.08.2006 12:14 33.009 KB899587.log
20.08.2006 12:13 31.999 KB899591.log
20.08.2006 12:13 32.165 KB893756.log
20.08.2006 12:12 31.470 KB896358.log
20.08.2006 12:11 30.385 KB890859.log
20.08.2006 12:09 27.074 KB901214.log
20.08.2006 12:09 25.287 KB896428.log
20.08.2006 12:08 27.533 KB890046.log
20.08.2006 12:07 29.511 KB885835.log
20.08.2006 12:05 22.316 KB891781.log
20.08.2006 12:04 21.560 KB888302.log
20.08.2006 12:04 23.458 KB885836.log
20.08.2006 12:03 22.565 KB873339.log
20.08.2006 10:40 212.057 setupact.log
20.08.2006 09:46 14.821 xpsp1hfm.log
20.08.2006 09:46 27.629 KB823980.log
20.08.2006 09:45 629 avmcoins.log
20.08.2006 09:43 2.484 F-Lovsan.log
19.08.2006 23:14 6.739 WGA.log
19.08.2006 14:56 6.395 KB842773.log
19.08.2006 14:55 8.694 KB893803v2.log
19.08.2006 14:54 7.245 KB898461.log
19.08.2006 14:46 3.207 tpl.cfg
19.08.2006 14:46 1.287 ISISAIM.INI
19.08.2006 11:19 0 nsreg.dat
19.08.2006 11:19 2.266 mozver.dat
18.08.2006 23:39 64 wininit.ini
18.08.2006 23:39 840 SIERRA.INI
18.08.2006 22:40 247 system.ini
13.08.2006 13:33 26 ms_shell.ini
05.08.2006 16:16 3.295 tm.ini
21.07.2006 13:19 500 GEARInstall.log
20.07.2006 22:54 4.096 d3dx.dat
18.07.2006 18:00 18 gfact.ini
17.07.2006 14:37 89 vpetting.ini
11.07.2006 18:22 160.265 wmsetup.log
09.07.2006 17:42 300 CDCOPS.XCP
26.06.2006 20:36 479 qtw.ini
20.05.2006 18:32 316.640 WMSysPr9.prx
18.05.2006 16:54 580 CrypTool.INI
24.04.2006 15:49 310 ChssBase.ini
22.04.2006 12:15 52 Flarium24.INI
07.04.2006 14:27 118 tdf.dii

----

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4049-1A01

Verzeichnis von C:\WINDOWS\system32

20.08.2006 14:13 13.700 wpa.dbl
20.08.2006 12:42 153.976 FNTCACHE.DAT
18.08.2006 23:35 48.354 perfc007.dat
18.08.2006 23:35 723.744 PerfStringBackup.INI
18.08.2006 23:35 311.740 perfh009.dat
18.08.2006 23:35 40.128 perfc009.dat
18.08.2006 23:35 316.924 perfh007.dat
09.08.2006 12:03 8.325.544 MRT.exe
25.07.2006 11:50 463.872 URLMON.DLL
21.07.2006 10:29 72.704 hlink.dll
18.07.2006 19:31 9.557 vgl.log
18.07.2006 18:00 172.032 cncs32.dll
18.07.2006 17:10 917.504 FLASH.OCX
14.07.2006 17:57 307.200 netapi32.dll
14.07.2006 17:36 519.168 hhctrl.ocx
13.07.2006 15:50 8.394.240 shell32.dll
13.07.2006 10:51 612.864 xpsp2res.dll
05.07.2006 12:53 1.002.496 kernel32.dll
30.06.2006 10:51 2.703.872 MSHTML.DLL
26.06.2006 19:47 6.144 rasadhlp.dll
26.06.2006 19:47 140.288 dnsapi.dll
23.06.2006 13:27 582.144 WININET.DLL
22.06.2006 12:59 169.984 rasmans.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
13.06.2006 18:08 552 d3d8caps.dat
09.06.2006 14:35 351.744 DXTMSFT.DLL
09.06.2006 14:35 192.512 DXTRANS.DLL
02.06.2006 11:04 57.384 avsda.dll
28.05.2006 16:22 90.112 CmdLineExt.dll
26.05.2006 22:19 163.840 JGDW400.DLL
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
21.05.2006 10:25 43.520 CmdLineExt03.dll
19.05.2006 14:13 13.312 wship6.dll
19.05.2006 14:13 54.272 ipv6mon.dll
19.05.2006 14:13 84.480 iphlpapi.dll
19.05.2006 14:13 70.656 ws2_32.dll
19.05.2006 14:13 31.232 inetmib1.dll
19.05.2006 14:13 95.232 6to4svc.dll
19.05.2006 14:13 104.448 dhcpcsvc.dll
19.05.2006 14:01 48.640 ipv6.exe
19.05.2006 14:01 85.504 netsh.exe
19.05.2006 10:51 184.320 xpob2res.dll
18.05.2006 08:13 458.752 jscript.dll
14.05.2006 11:26 98.816 polstore.dll
14.05.2006 11:26 258.560 oakley.dll
14.05.2006 11:26 29.184 winipsec.dll
14.05.2006 11:26 368.128 ipsmsnap.dll
14.05.2006 11:26 161.280 ipsecsvc.dll
14.05.2006 11:26 346.624 ipsecsnp.dll
07.05.2006 18:24 1.409 tmpC5156.FOT
28.04.2006 10:58 12.288 JSPROXY.DLL
24.04.2006 15:40 4.730.880 wmp.dll
06.04.2006 16:15 27.648 JGPL400.DLL

----

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4049-1A01

Verzeichnis von C:\DOKUME~1\LOKALE~1\Temp
___________________
Hier also die Daten.
Ich habe jeweils nur meinen Namen aus den Pfadangaben gelöscht.
Ansonsten alles nach Vorschrift gemacht;-)- außer eben das Clean up, aber die Dateien hier drin sind nach der richtigen Einstellung, die ich "nachgeschoben" habe.
Vielen Dank für deine Hilfe!

#4 Du scheinst doch etwas mehr glueck zu haben. Fixe bitte das(anhaken fix checked druecken)

O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [bbxo17.exe] C:\WINDOWS\Temp\bbxo17.exe
O4 - HKLM\..\Run: [bbxo32.exe] C:\WINDOWS\Temp\bbxo32.exe
O4 - HKLM\..\Run: [bbxo33.exe] C:\WINDOWS\Temp\bbxo33.exe
O4 - HKLM\..\Run: [bbxo34.exe] C:\WINDOWS\Temp\bbxo34.exe
O4 - HKLM\..\Run: [bbxo35.exe] C:\WINDOWS\Temp\bbxo35.exe
O4 - HKLM\..\Run: [bbxo36.exe] C:\WINDOWS\Temp\bbxo36.exe
O4 - HKLM\..\Run: [bbxo37.exe] C:\WINDOWS\Temp\bbxo37.exe
O4 - HKLM\..\Run: [bbxo38.exe] C:\WINDOWS\Temp\bbxo38.exe
O4 - HKLM\..\Run: [bbxo39.exe] C:\WINDOWS\Temp\bbxo39.exe
O4 - HKLM\..\Run: [bbxo40.exe] C:\WINDOWS\Temp\bbxo40.exe
O4 - HKLM\..\Run: [bbxo41.exe] C:\WINDOWS\Temp\bbxo41.exe
O4 - HKLM\..\Run: [bbxo42.exe] C:\WINDOWS\Temp\bbxo42.exe
O4 - HKLM\..\Run: [bbxo43.exe] C:\WINDOWS\Temp\bbxo43.exe
O4 - HKLM\..\Run: [bbxo44.exe] C:\WINDOWS\Temp\bbxo44.exe
O4 - HKLM\..\Run: [bbxo45.exe] C:\WINDOWS\Temp\bbxo45.exe
O4 - HKLM\..\Run: [bbxo46.exe] C:\WINDOWS\Temp\bbxo46.exe
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\lpt9.fla

Dann bitte neu starten und ein neues Hijackthis log erstellen.

Stelle dein Antivir bitte so ein wie hier beschrieben und melde evtl. Heur Meldungen: http://board.protecus.de/t23979.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo, da bin ich wieder!
Vielen, vielen Dank bis hierher!
Ich habe die betreffenden Dateien gefixt.
Da kam dann eine Fehlermeldung mit irgendwas von "unvorhersehbar".
Ich habe dann auf OK gedrückt- daraufhin ging das ganz normal weiter, "Bitte alle Fenster schließen", OK, und dann hat er das abgearbeitet. Ich hab dann AntiVirGuard nach dem Neustart wieder genauso eingestellt ( war's eh eigentlich schon;-). Da kam dann ziemlich schnell wieder die Fehlermeldung von dem
Trojaner, immer noch die gleiche Datei. Im Logfile steht sie aber nicht mehr, oder?
Na, du kennst dich besser aus ;-)
Hier ist es, ich habe es gerade erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 17:27:59, on 20.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\Leonhard\Eigene Dateien\Virenjagd\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{45100E6B-CBB5-4925-869B-BE6598C6B36A}: NameServer = 217.237.151.115 217.237.150.33
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

#6 Den Trojaner kann antivir auch nicht loeschen. Das hat etwas mit dem Namen der Datei zu tun, komisch, is aber so!

Du kannst den Rechner dazu am besten im abgesicherten Modus starten, oder aber den Antivirguard deaktivieren.

Gebe dann unter start ausfuehren CMD ein und druecke Enter. Dann oeffnet sich ein Dosfenster in diesem Fenster gibst du folgendes ein:

del \\?\c:\windows\system32\lpt9.fla
wieder enter druecken. Sollte eine Fehlermeldung auftauchen, schreib, welche.

Ansonsten musst du diesen Eintrag noch fixen:

O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
und diesen Ordner loeschen: C:\Programme\LinkOptimizer

Zuletzt bitte noch via www.windowsupdate.com dein System aktualisieren...
__________
MfG Ralf
SEO-Spam Hunter

#7 Vielen Dank!
Ich schau mal, was kommt...

Ok, die Datei habe ich (oder vielmehr du) löschen können!

Das hier allerdings
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
lässt sich nicht fixen, d.h. es lässt sich schon (keine Fehlermeldung oder so) aber es ist danach immer noch da.

Den Ordner "Link Optimizer" gibts gar nicht... seltsam, der ist mir nämlich in der Software-Liste aufgefallen; ich wollte das Teil deinstallieren, da hat sich dann eine Seite geöffntet wo nur ein Button "Uninstall" war, sonst war die Seite leer. Das kam mir dann doch spanisch vor, also hab ich das dann gelassen.

Das Windowsupdate mache ich, habe das etwas schleifen lassen;-)

Und noch eine Anmerkung: Ist es normal, dass im Taskmanager 5 mal SVCHOST.EXE auftaucht??? Dreimal unter "SYSTEM", einmal unter "LOKALER DIENST" und einmal unter "NETZWERKDIENST".
Danke im Voraus!

#8 Das mit den svchost Dateien ist normal. Das BHO fixe nochmal. Achte dann bitte darauf, das der internetexplorer geschlossen ist, sonst klappt das nicht...
__________
MfG Ralf
SEO-Spam Hunter

#9 Der war eigentlich zu... Ich veruche es heute Abend nochmal (bin grad an nem Unicomputer).
Danke!

#10 Man sollte es auch ueber Den IE selber machen koennen, unter Extras/Addoins Verwalten. Es funktioniert leider nur aktivieren/deaktivieren. Aber HJT sollte es koennen...
__________
MfG Ralf
SEO-Spam Hunter

#11 So, da bin ich wieder!
Ich habe es gerade ausprobiert, den einen Eintrag zu fixen, das funktioniert aber tatsächlich nicht, O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) taucht beim nächsten Scan wieder auf.

Mfg Murmeltier

#12 Du kannst es via Extras/ADD ONS Verwalten deaktivieren, oder es mit BHO Deamon machen http://www.definitivesolutions.com/bhodemon.htm

oder toolbarcop http://windowsxp.mvps.org/toolbarcop.htm
__________
MfG Ralf
SEO-Spam Hunter

#13 Das ist mir jetzt etwas peinlich- aber ich krieg' das nicht gebacken:

1.) Beim Internet Explorer gibt's bei mir keine Rubrik AddOns (kann das daran liegen, dass nicht IE mein Standardbrowser ist, sondern Firefox?)
2.) BHO Deamon lässt sich ohne Probleme installieren, aber wenn ich starten will,
kommt, dass ich in der "Administrator Group" sein muss, weil der Einträge braucht, die er nur bekommen kann, wenn ein Administrator das Ganze ausführt. Nun bin ich Admin an meinem Computer, ich bin der einzige Benutzer.
3.) Toolbarcop findet's nicht.

Es ist aber immernoch da.

MfG Murmeltier

#14 Hallo Leute,
ich schließe mich dem Problem meines Vorgängers an.
Ich hoffe mir kann dabei jemand helfen, denn langsam wird es unheimlich.
Ich (ein "noch" Modem-Nutzer) habe bemerken müssen, das mich neben diesem Trojaner
anschließend noch weitere Trojaner befallen haben.
Die haben mich aus dem Netz geschmissen und haben versucht mit dem Modem
etwas an zu wählen. Habe das aber mit dem "guten alten" Aus-Schalter verhindern können.
Konnte das aber mit AntiVir wieder löschen.

Hauptproblem:

TR/RKDice.A

unter folgendem Verzeichnis:
c:\windows\system32\clock$.dop

Was kann ich tun, damit das nicht nochmal passieren kann?
Ich nutze doch AntiVir und eine Firewall?!


Ich danke im Vorraus!

Bye Christoph
________________________________________________________________________


Logfile of HijackThis v1.99.1
Scan saved at 00:23:50, on 04.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Temp\qsky1.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Tools\Palm\HOTSYNC.EXE
C:\Programme\SmartNote\SmartNote.exe
C:\WINDOWS\system32\rundll32.exe
C:\SenseConnect! PRO\sc_pro.exe
C:\TOOLS\FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Class - {BFE1C5F3-CF0A-C6AC-7747-04D3BD9AB7F0} - C:\WINDOWS\nboch1.dll (file missing)
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Tools\Pop-Up Stopper Pro\popuppro.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [qsky1.exe] C:\WINDOWS\Temp\qsky1.exe
O4 - Startup: HotSync Manager.lnk = C:\Tools\Palm\HOTSYNC.EXE
O4 - Startup: SmartNote.lnk = C:\Programme\SmartNote\SmartNote.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101944438218
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A11F43-E106-491C-95BC-7D537856AF84}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe


_____________


Administrator - 06-10-04 0:41:51,68 Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop\Virus"

((((((((((((((((((((((((((((((( Files Created from 2006-09-04 to 2006-10-04 ))))))))))))))))))))))))))))))))))


2006-09-28 13:23 12,288 --a------ C:\WINDOWS\system32\xnaa.dll
2006-09-19 23:19 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2006-09-19 23:19 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2006-09-19 23:19 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2006-09-19 23:19 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-09-19 23:19 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2006-09-19 23:19 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-04 00:36 -------- d-------- C:\Programme\Windows NT
2006-09-26 17:19 -------- d-------- C:\Programme\EuroPoker
2006-09-24 23:07 -------- d-------- C:\Programme\SmartNote
2006-09-19 23:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Nero
2006-09-19 23:21 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-19 23:21 -------- d-------- C:\Programme\Ahead
2006-09-19 23:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-08-31 23:56 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-31 23:56 -------- d-------- C:\Programme\Windows Media Player
2006-08-29 20:32 -------- d-------- C:\Programme\DivX
2006-08-29 20:28 -------- d-------- C:\Programme\Latinum
2006-08-29 20:25 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-20 19:52 -------- d-------- C:\Programme\Internet Explorer
2006-07-29 18:45 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-18 17:16 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2006-07-18 17:16 2272 --a------ C:\WINDOWS\system32\w95inf16.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"nwiz"="nwiz.exe /install"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NWEReboot"=""
"qsky1.exe"="C:\\WINDOWS\\Temp\\qsky1.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,9d,00,00,00,95,00,00,00,07,02,00,00,d4,01,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,9c,03,00,00,83,01,00,00,07,02,00,00,d4,01,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:dc,ff,d3,01,f3,99,83,7c,70,9a,80,7c,ff,ff,ff,ff,66,9a,\
80,7c,66,9a,80,7c

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,3e,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091


______________

Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: E0D2-768D

Verzeichnis von C:\WINDOWS\system32

04.10.2006 00:41 316.924 perfh007.dat
04.10.2006 00:41 40.128 perfc009.dat
04.10.2006 00:41 311.740 perfh009.dat
04.10.2006 00:41 48.354 perfc007.dat
04.10.2006 00:41 723.744 PerfStringBackup.INI
04.10.2006 00:37 3.725 nvapps.xml
02.10.2006 18:48 2.206 wpa.dbl
28.09.2006 17:43 12.288 xnaa.dll
31.08.2006 23:56 16.832 amcompat.tlb
31.08.2006 23:56 23.392 nscompat.tlb
09.08.2006 21:03 8.325.544 MRT.exe
29.07.2006 18:45 57.384 avsda.dll
28.07.2006 13:28 3.075.072 mshtml.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
18.07.2006 17:16 2.272 w95inf16.dll
18.07.2006 17:16 4.608 w95inf32.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 10:53 27.136 xpsp3res.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll


atentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: E0D2-768D

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

04.10.2006 00:39 512 ~DF7672.tmp
04.10.2006 00:39 512 ~DF5FF5.tmp
04.10.2006 00:37 444 jusched.log
3 Datei(en) 1.468 Bytes
0 Verzeichnis(se), 49.179.574.272 Bytes frei



Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: E0D2-768D

Verzeichnis von C:\WINDOWS

04.10.2006 00:46 1.360.772 WindowsUpdate.log
04.10.2006 00:36 0 0.log
04.10.2006 00:35 2.048 bootstat.dat
04.10.2006 00:23 106.948 ModemLog_MicroLink 56k Fun .txt
04.10.2006 00:15 2.841 KB920214.log
04.10.2006 00:14 2.744 KB920685.log
04.10.2006 00:13 3.044 KB920872.log
04.10.2006 00:13 207.186 setupapi.log
04.10.2006 00:08 2.587 KB919007.log
04.10.2006 00:00 32.618 SchedLgU.Txt
03.10.2006 00:36 69 NeroDigital.ini
30.09.2006 03:14 192 winamp.ini
26.09.2006 20:52 36.498.486 Firefox Wallpaper.bmp
26.09.2006 17:00 116.344 ntbtlog.txt
21.09.2006 21:42 6.501 WgaNotify.log
19.09.2006 23:21 28.112 wmsetup.log
19.09.2006 23:21 316.640 WMSysPr9.prx
13.09.2006 01:08 815 win.ini
13.09.2006 01:08 227 system.ini
06.09.2006 23:19 50 wiaservc.log
06.09.2006 23:19 216 wiadebug.log
01.09.2006 13:55 90 wa.INI
29.08.2006 20:25 230 Wininit.ini
21.08.2006 18:21 626.687 iis6.log
21.08.2006 18:21 112.832 ntdtcsetup.log
21.08.2006 18:21 147.317 comsetup.log
21.08.2006 18:21 249.340 tsoc.log
21.08.2006 18:21 25.630 tabletoc.log
21.08.2006 18:21 29.691 ocmsn.log
21.08.2006 18:21 1.374 imsins.log
21.08.2006 18:21 13.299 KB921398.log
21.08.2006 18:21 212.756 ocgen.log
21.08.2006 18:21 26.927 msgsocm.log
21.08.2006 18:21 38.200 medctroc.Log
21.08.2006 18:21 90.641 netfxocm.log
21.08.2006 18:21 519.007 FaxSetup.log
21.08.2006 18:21 171.426 msmqinst.log
21.08.2006 18:21 32.340 updspapi.log
20.08.2006 19:52 1.374 imsins.BAK
20.08.2006 19:52 14.685 KB922616.log
20.08.2006 19:52 18.610 KB918899.log
17.08.2006 20:38 12.404 KB921883.log
17.08.2006 20:37 11.834 KB920670.log
17.08.2006 20:37 11.996 KB917422.log
17.08.2006 20:36 12.649 KB920683.log
05.08.2006 19:43 255 setupact.log
05.08.2006 19:08 10.976 mozver.dat
14.07.2006 12:22 11.839 KB917159.log
14.07.2006 12:22 12.345 KB914388.log
14.07.2006 12:22 10.473 KB916595.log

Datentr„ger in Laufwerk C: ist Laufwerk
Volumeseriennummer: E0D2-768D

Verzeichnis von C:\

04.10.2006 00:49 0 sys.txt
04.10.2006 00:49 9.955 system.txt
04.10.2006 00:48 388 systemtemp.txt
04.10.2006 00:48 103.194 system32.txt
04.10.2006 00:44 5.857 ComboFix.txt
04.10.2006 00:35 1.560.281.088 pagefile.sys
13.09.2006 01:08 211 boot.ini
16.04.2006 21:25 33 ProgDVB.ini
14.11.2005 03:27 151.719 Standard.mp3
24.11.2004 18:53 47.564 NTDETECT.COM
24.11.2004 18:53 251.184 ntldr
24.11.2004 18:22 0 MSDOS.SYS
24.11.2004 18:22 0 CONFIG.SYS
24.11.2004 18:22 0 AUTOEXEC.BAT
24.11.2004 18:22 0 IO.SYS
23.08.2001 14:00 4.952 bootfont.bin
16 Datei(en) 1.560.856.145 Bytes
0 Verzeichnis(se), 49.179.574.272 Bytes frei

#15 ChrisGir112

1.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\xnaa.dll
C:\WINDOWS\Temp\qsky1.exe

Folders to delete:
C:\Programme\EuroPoker

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {BFE1C5F3-CF0A-C6AC-7747-04D3BD9AB7F0} - C:\WINDOWS\nboch1.dll (file missing)

O4 - HKLM\..\Run: [qsky1.exe] C:\WINDOWS\Temp\qsky1.exe

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

3.
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

---------------
4.
scanne und poste den report
http://virus-protect.org/a2.html
__________
MfG Sabina

rund um die PC-Sicherheit