Aktueller Trojaner - bitte log einsehen !

#0
22.09.2006, 16:00
...neu hier

Beiträge: 8
#1 Hallo,

könntet ihr dieses log einsehen ? Selbst Symantec hat probleme ihn zu fixen:

Logfile of HijackThis v1.99.1
Scan saved at 15:51:13, on 22.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ishost.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\AusLogics BoostSpeed\boostspeed.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\D-Link\AirPlusG+\AirPlus.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GUI] C:\D-Link\AirPlusG+\AirPlus.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BoostSpeed] "C:\Programme\AusLogics BoostSpeed\boostspeed.exe" /Q
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Utility.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
Seitenanfang Seitenende
22.09.2006, 18:37
Member

Beiträge: 130
#2 wäre schonmal hilfreich wenn du den namen des von symantec gefundenen trojaners nennen würdest und auch welche datei(en) infiziert sind ;)
Seitenanfang Seitenende
23.09.2006, 13:26
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo Terementor,

der Virus heißt

TR/Vundo.Gen

und der infizierte ordner ist

C:\Windows\system32\khfgd.dll


Allerdings lese Ich gerade iM Forum,dass auch einige andere Probleme haben.
Es muss also ein aktueller sein. Zudem befindet sich der Trojaner auf einem Laptop.

LG;
mario
Seitenanfang Seitenende
23.09.2006, 13:56
Member

Beiträge: 130
#4 da die infizierten datein bei jedem anders zu sein scheinen brauchen wir folgende logs von dir (cleanup nur durchführen, log undwichtig):

http://board.protecus.de/t23188.htm
Seitenanfang Seitenende
25.09.2006, 15:01
...neu hier

Themenstarter

Beiträge: 8
#5 Hallo Terementor,

Hier nun zusammenfassend die gewünschten Informationen inkl. einem Log von AVIRA Antivir (Antivirenprogramm):


Logfile of HijackThis v1.99.1
Scan saved at 13:39:54, on 25.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cscript.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AusLogics BoostSpeed\boostspeed.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\D-Link\AirPlusG+\AirPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\secure\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ChangerBHO Class - {1D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\catsrvutb.dll
O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: SpoofBHO Class - {a62d2213-2d9b-4d25-b52d-0bc282501d5b} - C:\WINDOWS\se_spoof.dll
O2 - BHO: Clicker Class - {A97B5EF1-CA64-466F-AC40-F770ED52DB92} - C:\WINDOWS\system32\mscoriezz.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: (no name) - {D9C6E968-56C1-42D1-8889-12F9F9079BA7} - C:\WINDOWS\system32\khfgd.dll (file missing)
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GUI] C:\D-Link\AirPlusG+\AirPlus.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BoostSpeed] "C:\Programme\AusLogics BoostSpeed\boostspeed.exe" /Q
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Utility.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O20 - Winlogon Notify: khfgd - C:\WINDOWS\system32\khfgd.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winmyy32 - winmyy32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe













Christoph - 06-09-25 13:31:17,40 Service Pack 2
ComboFix 06.09.25 - Running from: "C:\Dokumente und Einstellungen\Christoph\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{80931DB6-06C0-1031-0821-050725050031}
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Safety Bar


((((((((((((((((((((((((((((((( Files Created from 2006-08-25 to 2006-09-25 ))))))))))))))))))))))))))))))))))


2006-09-21 12:13 752,888 ---hs---- C:\WINDOWS\system32\dgfhk.ini2
2006-09-20 21:11 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-09-20 20:24 744,337 ---hs---- C:\WINDOWS\system32\dgfhk.bak1
2006-09-20 20:19 94,208 --a------ C:\WINDOWS\system32\uhvjsul.dll
2006-09-20 20:19 72,704 --a------ C:\WINDOWS\system32\unaoakg.dll
2006-09-20 12:38 29,184 --a------ C:\WINDOWS\trustinbar.exe
2006-09-20 12:38 26,112 --a------ C:\WINDOWS\bsoft.exe
2006-09-20 12:38 21,504 --a------ C:\WINDOWS\system32\catsrvutb.dll
2006-09-20 12:16 21,504 --a------ C:\WINDOWS\system32\ati3duagv.dll
2006-09-19 08:35 21,504 --a------ C:\WINDOWS\system32\atioglxxv.dll
2006-09-18 06:56 21,504 --a------ C:\WINDOWS\system32\adsmsexts.dll
2006-09-17 00:23 21,504 --a------ C:\WINDOWS\system32\atracesa.dll
2006-09-15 21:03 21,504 --a------ C:\WINDOWS\system32\atraces.dll
2006-09-14 20:41 22,016 --a------ C:\WINDOWS\system32\mscoriezz.dll
2006-09-14 20:41 21,504 --a------ C:\WINDOWS\system32\actxprxyv.dll
2006-09-14 20:41 20,992 --a------ C:\WINDOWS\se_spoof.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-25 13:31 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-25 13:24 -------- d-------- C:\Programme\CleanUp!
2006-09-20 22:32 -------- d-------- C:\Programme\Virtual CD v7
2006-09-20 21:11 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-20 12:36 -------- d-------- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Azureus
2006-09-18 20:10 -------- d-------- C:\Programme\Internet Explorer
2006-09-16 22:54 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-07 00:40 -------- d-------- C:\Programme\Azureus
2006-09-06 23:39 -------- d-------- C:\Programme\Java
2006-08-22 17:13 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-22 17:13 -------- d-------- C:\Programme\Gemeinsame Dateien\DeTeMedien
2006-08-22 17:13 -------- d-------- C:\Programme\DeTeMedien
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-13 17:21 -------- d-------- C:\Programme\DATA BECKER
2006-08-13 17:20 -------- d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2006-08-11 07:07 -------- d-------- C:\Programme\Google
2006-08-05 21:58 -------- d-------- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Ahead
2006-08-05 11:30 -------- d-------- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\fotobuch.de
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"BoostSpeed"="\"C:\\Programme\\AusLogics BoostSpeed\\boostspeed.exe\" /Q"
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"THotkey"="C:\\Programme\\Toshiba\\Toshiba Applet\\thotkey.exe"
"TPSMain"="TPSMain.exe"
"Tvs"="C:\\Programme\\TOSHIBA\\Tvs\\TvsTray.exe"
"TFncKy"="TFncKy.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"URLLSTCK.exe"="C:\\Programme\\Norton Internet Security\\UrlLstCk.exe"
"CFSServ.exe"="CFSServ.exe -NoClient"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NWEReboot"=""
"Power Scan"="C:\\Programme\\Power Scan\\powerscan.exe"
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"GUI"="C:\\D-Link\\AirPlusG+\\AirPlus.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"PadTouch"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"VC7Player"="C:\\Programme\\HHVcdV7Sys\\VC7Play.exe"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfgd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Christoph.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 25.09.2006 13:35:44.45
ComboFix.txt




DATFIND:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8093-1DB6

Verzeichnis von C:\WINDOWS\system32

25.09.2006 13:35 1.158 wpa.dbl
23.09.2006 12:24 751.000 dgfhk.ini
21.09.2006 16:59 64 SNDCON.log
21.09.2006 16:59 64 SNDSYS.log
21.09.2006 16:59 64 SNDDBG.log
21.09.2006 16:59 64 SNDIDS.log
21.09.2006 16:59 64 SNDFW.log
21.09.2006 16:59 64 SNDALRT.log
21.09.2006 12:24 0 mcrh.tmp
21.09.2006 12:17 752.888 dgfhk.ini2
20.09.2006 20:24 744.337 dgfhk.bak1
20.09.2006 20:19 72.704 unaoakg.dll
20.09.2006 20:19 94.208 uhvjsul.dll
20.09.2006 12:38 21.504 catsrvutb.dll
20.09.2006 12:16 21.504 ati3duagv.dll
19.09.2006 08:35 21.504 atioglxxv.dll
18.09.2006 06:56 21.504 adsmsexts.dll
17.09.2006 00:23 21.504 atracesa.dll
15.09.2006 21:03 21.504 atraces.dll
14.09.2006 20:41 22.016 mscoriezz.dll
14.09.2006 20:41 21.504 actxprxyv.dll

11.09.2006 10:37 8.960.936 MRT.exe
09.09.2006 08:41 383.588 perfh009.dat
09.09.2006 08:41 53.942 perfc009.dat
09.09.2006 08:41 395.074 perfh007.dat
09.09.2006 08:41 64.994 perfc007.dat
09.09.2006 08:41 906.376 PerfStringBackup.INI
07.09.2006 12:54 57.384 avsda.dll
06.09.2006 23:39 8.891 jupdate-1.5.0_08-b03.log
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 03:03 127.078 javaws.exe
26.07.2006 03:03 49.265 jpicpl32.cpl



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8093-1DB6

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

25.09.2006 13:40 171 jusched.log
25.09.2006 13:36 224 WCESCOMM.LOG
2 Datei(en) 395 Bytes
0 Verzeichnis(se), 6.790.443.008 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8093-1DB6

Verzeichnis von C:\WINDOWS

25.09.2006 13:33 0 0.log
25.09.2006 13:33 1.423.937 WindowsUpdate.log
25.09.2006 13:33 159 wiadebug.log
25.09.2006 13:33 50 wiaservc.log
25.09.2006 13:32 2.048 bootstat.dat
23.09.2006 12:24 32.596 SchedLgU.Txt
23.09.2006 12:13 638.048 ntbtlog.txt
22.09.2006 15:53 224.771 setupapi.log
20.09.2006 22:18 143 NeroDigital.ini
20.09.2006 19:39 3.731 spupdsvc.log
20.09.2006 12:38 26.112 bsoft.exe
20.09.2006 12:38 29.184 trustinbar.exe
20.09.2006 12:38 20.992 se_spoof.dll
20.09.2006 12:16 0 removeadware.ico
20.09.2006 12:16 6.518 onlineshopping.ico
20.09.2006 12:16 2.637 local.html

18.09.2006 20:12 57.839 comsetup.log
18.09.2006 20:12 27.798 iis6.log
18.09.2006 20:12 35.276 ntdtcsetup.log
18.09.2006 20:12 67.617 tsoc.log
18.09.2006 20:12 1.374 imsins.log
18.09.2006 20:12 9.659 ocmsn.log
18.09.2006 20:12 27.364 KB920872.log
18.09.2006 20:12 84.031 ocgen.log
18.09.2006 20:12 8.773 msgsocm.log
18.09.2006 20:12 173.707 FaxSetup.log
18.09.2006 20:12 1.374 imsins.BAK
18.09.2006 20:12 25.589 KB920685.log
18.09.2006 20:11 25.734 KB919007.log
18.09.2006 20:11 18.858 KB922582.log
18.09.2006 20:11 15.182 updspapi.log
18.09.2006 20:11 24.685 KB920214.log
18.09.2006 20:11 24.161 KB922616.log
18.09.2006 20:11 23.734 KB921398.log
18.09.2006 20:11 23.239 KB920683.log
18.09.2006 20:11 21.761 KB920670.log
18.09.2006 20:10 21.925 KB917422.log
18.09.2006 20:10 39.860 KB918899.log
18.09.2006 20:10 16.312 KB921883.log
18.09.2006 20:10 16.331 KB917734.log
18.09.2006 20:10 916 wmsetup.log
15.09.2006 21:04 6.518 videoslots.ico
15.09.2006 21:04 6.518 sexpersonals.ico

22.08.2006 17:18 1.030 ODBC.INI
22.08.2006 17:14 655 win.ini
19.08.2006 22:46 180 setupact.log
08.08.2006 21:04 92 ktel.ini
16.07.2006 09:57 13.894 KB917159.log
16.07.2006 09:57 14.062 KB914388.log
16.07.2006 09:57 12.455 KB916595.log
16.07.2006 09:56 36.170 WgaNotify.log
25.06.2006 11:01 22.347 KB911280.log
25.06.2006 11:00 21.331 KB917953.log
25.06.2006 11:00 25.706 KB913580.log
25.06.2006 11:00 24.812 KB916281.log
25.06.2006 11:00 13.465 KB918439.log
25.06.2006 11:00 14.078 KB917344.log
25.06.2006 10:59 13.720 KB914389.log
25.06.2006 10:59 13.178 KB908531.log
25.06.2006 10:59 13.292 KB900485.log
25.06.2006 10:59 12.702 KB911562.log
25.06.2006 10:59 11.920 KB911567.log
25.06.2006 10:45 11.409 WGA.log
12.04.2006 23:02 151 PhotoSnapViewer.INI
06.04.2006 20:17 103 kodakpcd.Yvonne.ini
02.04.2006 13:04 0 setuperr.log
22.02.2006 20:23 0 iplayer.INI
03.02.2006 22:11 4.381 ODBCINST.INI



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8093-1DB6

Verzeichnis von C:\

25.09.2006 13:48 0 sys.txt
25.09.2006 13:47 7.507 system.txt
25.09.2006 13:46 345 systemtemp.txt
25.09.2006 13:43 98.519 system32.txt
25.09.2006 13:35 9.379 ComboFix.txt
25.09.2006 13:32 1.073.201.152 hiberfil.sys
25.09.2006 13:32 1.610.612.736 pagefile.sys
23.09.2006 12:18 1.222 VundoFix.txt
23.09.2006 12:00 45 TEST.XML
04.08.2006 12:42 51.602 RUU.log
14.12.2005 15:14 65.536 EzGP Non Volatile Storage.dat
26.11.2005 19:03 353 boot.ini
03.11.2005 00:32 5.589 data
07.10.2005 18:58 211 BOOT.BKK
24.08.2005 15:41 292 SWSTAMP.TXT
17.08.2005 14:44 0 MSDOS.SYS
17.08.2005 14:44 0 IO.SYS
17.08.2005 14:44 0 CONFIG.SYS
17.08.2005 14:44 0 AUTOEXEC.BAT
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
22 Datei(en) 2.684.358.188 Bytes
0 Verzeichnis(se), 6.790.459.392 Bytes frei



AVIRA Antivir-Logfile:




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 25. September 2006 14:00

Es wird nach 509590 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Christoph
Computername: YOUR-29410D6259

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 21.08.2006 10:06:53
AVSCAN.DLL : 7.0.0.45 41000 25.07.2006 11:09:33
LUKE.DLL : 7.0.0.47 118824 07.09.2006 10:32:31
LUKERES.DLL : 7.0.0.47 9256 07.09.2006 10:32:31
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:35:19
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 07:12:24
ANTIVIR2.VDF : 6.36.0.55 202240 21.09.2006 11:37:33
ANTIVIR3.VDF : 6.36.0.67 36352 25.09.2006 11:37:33
AVEWIN32.DLL : 7.2.0.18 1839616 25.09.2006 11:37:33
AVPREF.DLL : 7.0.0.2 23080 24.07.2006 12:35:49
AVREP.DLL : 6.36.0.5 806952 20.09.2006 19:12:53
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.0 368680 21.07.2006 06:00:28
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 24.07.2006 12:35:42
RCIMAGE.DLL : 7.0.0.74 1642536 01.08.2006 11:22:53
RCTEXT.DLL : 7.0.0.107 77864 31.08.2006 14:39:56

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Montag, 25. September 2006 14:00


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 24 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 27 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Christoph\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Christoph\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-3364661961-2406646724-2893654838-500\Dc2.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.WX
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4549cfda.qua' verschoben!
C:\RECYCLER\S-1-5-21-3364661961-2406646724-2893654838-500\Dc3.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.alu.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454acff7.qua' verschoben!
C:\WINDOWS\system32\khfgd.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 25. September 2006 14:59
Benötigte Zeit: 59:39 min

Der Suchlauf wurde vollständig durchgeführt.

4587 Verzeichnisse wurden überprüft
224562 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6893 Archive wurden durchsucht
25 Warnungen
1 Hinweise


Ich würde mich über schnelle Hilfe freuen und Danke Dir im voraus. Ihr habt einen wirklich tollen Support !

MFG,
MarioB
Seitenanfang Seitenende
25.09.2006, 16:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 MarioB

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TISA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrustIn Bar
HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar

Files to delete:
C:\WINDOWS\system32\khfgd.dll
C:\WINDOWS\system32\dgfhk.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\dgfhk.ini2
C:\WINDOWS\system32\dgfhk.bak1
C:\WINDOWS\system32\unaoakg.dll
C:\WINDOWS\system32\uhvjsul.dll
C:\WINDOWS\system32\catsrvutb.dll
C:\WINDOWS\system32\mscoriezz.dll
C:\WINDOWS\system32\actxprxyv.dll
C:\WINDOWS\system32\catsrvutb.dll
C:\WINDOWS\system32\ati3duagv.dll
C:\WINDOWS\system32\atioglxxv.dll
C:\WINDOWS\system32\adsmsexts.dll
C:\WINDOWS\system32\atracesa.dll
C:\WINDOWS\system32\atraces.dll
C:\WINDOWS\bsoft.exe
C:\WINDOWS\trustinbar.exe
C:\WINDOWS\se_spoof.dll
C:\WINDOWS\removeadware.ico
C:\WINDOWS\onlineshopping.ico
C:\WINDOWS\local.html

Folders to delete:
C:\Programme\TrustIn Bar
C:\Programme\Power Scan

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
scanne mit smitfraudfix (option 1 und 2 ) - und poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
arbeite die roguescanfix.exe von dieser seite ab und poste den report
http://virus-protect.org/artikel/spyware/trustInbar.html

----------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: ChangerBHO Class - {1D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\catsrvutb.dll
O2 - BHO: (no name) - {278B661A-14A8-D8B0-6AF4-03088B866149} - C:\WINDOWS\system32\unaoakg.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll (file missing)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: SpoofBHO Class - {a62d2213-2d9b-4d25-b52d-0bc282501d5b} - C:\WINDOWS\se_spoof.dll
O2 - BHO: Clicker Class - {A97B5EF1-CA64-466F-AC40-F770ED52DB92} - C:\WINDOWS\system32\mscoriezz.dll
O2 - BHO: (no name) - {D9C6E968-56C1-42D1-8889-12F9F9079BA7} - C:\WINDOWS\system32\khfgd.dll (file missing)

O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe

O20 - Winlogon Notify: khfgd - C:\WINDOWS\system32\khfgd.dll (file missing)

O20 - Winlogon Notify: winmyy32 - winmyy32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)



__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2006, 18:54
...neu hier

Themenstarter

Beiträge: 8
#7 Hallo Sabina,

erst einmal vielen Dank für die schnelle Rückantwort !!

Hier wie gewünscht die logs :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\chwaavck

*******************

Script file located at: \??\C:\Program Files\xixtakpi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\khfgd.dll deleted successfully.
File C:\WINDOWS\system32\dgfhk.ini deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\dgfhk.ini2 deleted successfully.
File C:\WINDOWS\system32\dgfhk.bak1 deleted successfully.
File C:\WINDOWS\system32\unaoakg.dll deleted successfully.
File C:\WINDOWS\system32\uhvjsul.dll deleted successfully.
File C:\WINDOWS\system32\catsrvutb.dll deleted successfully.
File C:\WINDOWS\system32\mscoriezz.dll deleted successfully.
File C:\WINDOWS\system32\actxprxyv.dll deleted successfully.


File C:\WINDOWS\system32\catsrvutb.dll not found!
Deletion of file C:\WINDOWS\system32\catsrvutb.dll failed!

Could not process line:
C:\WINDOWS\system32\catsrvutb.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ati3duagv.dll deleted successfully.
File C:\WINDOWS\system32\atioglxxv.dll deleted successfully.
File C:\WINDOWS\system32\adsmsexts.dll deleted successfully.
File C:\WINDOWS\system32\atracesa.dll deleted successfully.
File C:\WINDOWS\system32\atraces.dll deleted successfully.
File C:\WINDOWS\bsoft.exe deleted successfully.
File C:\WINDOWS\trustinbar.exe deleted successfully.
File C:\WINDOWS\se_spoof.dll deleted successfully.
File C:\WINDOWS\removeadware.ico deleted successfully.
File C:\WINDOWS\onlineshopping.ico deleted successfully.
File C:\WINDOWS\local.html deleted successfully.


Folder C:\Programme\TrustIn Bar not found!
Deletion of folder C:\Programme\TrustIn Bar failed!

Could not process line:
C:\Programme\TrustIn Bar
Status: 0xc0000034



Folder C:\Programme\Power Scan not found!
Deletion of folder C:\Programme\Power Scan failed!

Could not process line:
C:\Programme\Power Scan
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TISA not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TISA failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrustIn Bar not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrustIn Bar failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


SMITFRAUDFIX OPTION 1 :


SmitFraudFix v2.99

Scan done at 18:09:07,25, 25.09.2006
Run from C:\Dokumente und Einstellungen\Christoph\Desktop\secure\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\sexpersonals.ico FOUND !
C:\WINDOWS\videoslots.ico FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Christoph\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\CHRIST~1\FAVORI~1

C:\DOKUME~1\CHRIST~1\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Option 2 :

SmitFraudFix v2.99

Scan done at 18:36:32,30, 25.09.2006
Run from C:\Dokumente und Einstellungen\Christoph\Desktop\secure\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Und hier zum Schluß ein neues Hijackthis-Log :



Logfile of HijackThis v1.99.1
Scan saved at 18:52:44, on 25.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AusLogics BoostSpeed\boostspeed.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\D-Link\AirPlusG+\AirPlus.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\secure\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GUI] C:\D-Link\AirPlusG+\AirPlus.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BoostSpeed] "C:\Programme\AusLogics BoostSpeed\boostspeed.exe" /Q
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Utility.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {60FF3727-80F3-4181-980F-CE95137B6359} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe

MFG,
MarioB
Seitenanfang Seitenende
25.09.2006, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 scanne mit panda und poste den scanreport, wenn der scan nicht funktionieren sollte, scanne mit Bitdefender
http://virus-protect.org/onlinescan.html

dann scanne und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.09.2006, 15:57
...neu hier

Themenstarter

Beiträge: 8
#9 Hallo Sabina,

der Post wird zu groß,da Ewido-Scanbericht sehr lang. Da ich eine Forum-Fehlermeldung erhielt, hier erst einmal der

ACTIVESCAN von panda.


Incident Status Location

Adware:adware/securityerror Not disinfected C:\Dokumente und Einstellungen\Christoph\Favoriten\Antivirus Test Online.url
Adware:adware/dyfuca Not disinfected Windows Registry
Adware:adware/ist.istbar Not disinfected Windows Registry
Adware:adware/powerscan Not disinfected Windows Registry
Adware:adware/azesearch Not disinfected Windows Registry
Adware:Adware/Henbang Not disinfected C:\avenger\backup.zip[avenger/se_spoof.dll]
Adware:Adware/TrustIn Not disinfected C:\avenger\backup.zip[avenger/trustinbar.exe]
Spyware:Cookie/Reliablestats Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@stats1.reliablestats[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Christoph\Desktop\secure\SmitfraudFix\Process.exe
Adware:Adware/IST.ISTBar Not disinfected C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\Meine empfangenen Dateien\Bootscreens\gbk.exe
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\Cookies\yvonne@2o7[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\Cookies\yvonne@as1.falkag[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\Cookies\yvonne@doubleclick[1].txt
Adware:Adware/SecurityError Not disinfected C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\wschtm35.dll
Adware:Adware/TrustIn Not disinfected C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3V3USX5\trustinbar[1].exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Programme\Roguescanfix\Process.exe
Spyware:Spyware/Virtumonde Not disinfected C:\VundoFix Backups\services.dll.bad
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Seitenanfang Seitenende
27.09.2006, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Christoph\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G3V3USX5\trustinbar[1].exe
C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\Meine empfangenen Dateien\Bootscreens\gbk.exe
C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\wschtm35.dll
**
dann loesche alle backups vom Avenger unter C:\Avenger\backop.zip
und C:\VundoFix Backups

**
dann scanne noch mal mit beiden scannern (du kannst die logs in eine txt-Datei umwandeln und dann als Anhang posten (siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2006, 21:55
...neu hier

Themenstarter

Beiträge: 8
#11 Hallo Sabina,

Danke Dir für Deine Mühen. Das problem hat sich nun mit Norman Virus Control gelöst. Die benutzen Proaktive Antivirenlösungen,keine signaturbasierten. Er hat den Trojaner anstandslos gesäubert.


Vielen Dank Dir nochmals.

MFG,
Mario
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: