Problem mit Tr/vundo.gen

#31 Hab´s auf beiden Laufwerken gelöscht!

Logfile of HijackThis v1.99.1
Scan saved at 16:33:55, on 26.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\programme\incredimail\bin\incmail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
c:\dokume~1\asus\lokale~1\temp\temporäres verzeichnis 9 für hijackthis.zip\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - c:\PROGRA~1\ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: JavaHelperware Class - {4F00C718-FFCA-4748-902B-45E14C4EBAFD} - C:\WINDOWS\system32\ObjHelpr32.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - c:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!ewido] "c:\programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [lpjsbiat] C:\ymajqioc.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] c:\programme\ashampoo\ashampoo winoptimizer platinum suite 2\PopUpKiller.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] c:\programme\superantispyware\superantispyware.exe
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=http://www.erotiklounge24.com/chats/lobby/index.html
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - file://C:\Programme\ProENGINEER Special Edition\i486_nt\obj\pvx_install.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.map4you.at/Mapguide/mgaxctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139860372234
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

#32 1.
fixe mit dem HijackThis:

Zitat

O2 - BHO: JavaHelperware Class - {4F00C718-FFCA-4748-902B-45E14C4EBAFD} - C:\WINDOWS\system32\ObjHelpr32.dll (file missing)
O4 - HKLM\..\Run: [lpjsbiat] C:\ymajqioc.bat

2.
deinstalliere Antivirus (er vertraegt sich nicht mit dem Avast, den du laden wirst)

3.
lade Avast
http://virus-protect.org/avast.html

nach dem Laden wird man gefragt, ob man nach dem Neustart, waehrend des Bootvorganges einer Festplattenüberprüfung (Viren) zustimmt - mit "ja" bestaetigen
dann den Rechner neustarten - und den Scan abwarten

4.
dann suche im Avast-Ordner den scanreport und poste ihn hier
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Hallo, hatte nach dem scan das Problem das ich gar nicht mehr ins Internet einsteigen konnte (auch nicht im Systemwiederherstellungsmodus).
Muste letzte Funktionierende konfiguration wählen und jetzt gehts wieder.
Ist jetzt der scan auch zurückgesetzt worden??

Avast

09/27/2006 22:06
Scan aller lokalen Laufwerke
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\Flash MX 2004\de\Configuration\HelpPanel\Help\ActionScriptDictionary\12_ASD199.html Fehler 0xC000003E {Datenfehler}
Datei C:\Dokumente und Einstellungen\asus\Desktop\Nicht verwendete Desktopverknüpfungen\CrackersBest (crackerKit) [found-on-www-bitreactor-to]\CrackersKit\PE-Scanner\Pescan33\pe-scan.exe\[UPX] ist infiziert von Win32:Trojano-421 [Trj], Gelöscht
Datei C:\Dokumente und Einstellungen\asus\Desktop\ObjHelpr32.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\Dokumente und Einstellungen\asus\Lokale Einstellungen\Anwendungsdaten\IM\Letter\pumping_waves.imf Fehler 0xC000003E {Datenfehler}
Datei C:\pagefile.sys ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\Programme\Adobe\Photoshop 7.0\Vorgaben\Eigene Formen\Formen.csh Fehler 0xC000003E {Datenfehler}
Datei C:\Programme\Macromedia\Dreamweaver MX 2004\Configuration\Inspectors\asp.net_button.js Fehler 0xC000003E {Datenfehler}
Datei C:\Programme\Microsoft Office\OFFICE11\OLKPRTID.XML Fehler 0xC000003E {Datenfehler}
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0114980.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117076.dll ist infiziert von Win32:Adware-gen. [Adw], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117078.exe ist infiziert von Win32:Adan-124 [Adw], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117079.exe ist infiziert von Win32:Adan-123 [Adw], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117080.exe ist infiziert von Win32:Adware-gen. [Adw], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117081.exe ist infiziert von Win32:Adware-gen. [Adw], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117084.exe ist infiziert von Win32:Adware-gen. [Adw], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0117633.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0119662.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0119679.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0119686.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0119787.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP440\A0120778.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP440\A0120780.exe\[UPX] ist infiziert von Win32:Trojano-421 [Trj], Gelöscht
Datei C:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP440\A0120781.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei C:\WINDOWS\$NtServicePackUninstall$\appwiz.cpl Fehler 42003 {Interner Programmfehler.}
Datei C:\WINDOWS\inf\wfp6.PNF Fehler 0xC000003E {Datenfehler}
Datei C:\WINDOWS\ServicePackFiles\i386\highcont.mar Fehler 0xC000003E {Datenfehler}
Datei C:\WINDOWS\system32\ObjHelpr32.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht
Datei D:\System Volume Information\_restore{60B42BE5-2588-4D75-A964-0E2C0B1B5286}\RP439\A0119677.dll ist infiziert von Win32:Small-TB [Trj], Gelöscht

Anzahl durchsuchter Ordner: 8001
Anzahl der geprüften Dateien: 166009
Anzahl infizierter Dateien: 20


Logfile of HijackThis v1.99.1
Scan saved at 00:08:17, on 28.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\dokume~1\asus\lokale~1\temp\temporäres verzeichnis 12 für hijackthis.zip\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - c:\PROGRA~1\ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - c:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!ewido] "c:\programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] c:\programme\ashampoo\ashampoo winoptimizer platinum suite 2\PopUpKiller.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] c:\programme\superantispyware\superantispyware.exe
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=http://www.erotiklounge24.com/chats/lobby/index.html
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - file://C:\Programme\ProENGINEER Special Edition\i486_nt\obj\pvx_install.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.map4you.at/Mapguide/mgaxctrl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139860372234
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

#34 dieser trojaner hatte deine C:\pagefile.sys infiziert. (ObjHelpr32.dll ist infiziert von Win32:Small-TB)
Gut, dass du es wieder hinbekommen hast

««
C:\Dokumente und Einstellungen\asus\Desktop\Nicht verwendete Desktopverknüpfungen\CrackersBest -> loeschen, falls es noch vorhanden ist

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
mache bitte nun einen Normalscann mit Avast (C:\ und D:\ scannen) und poste den report (stelle die scanheuristik auf hoch)
__________
MfG Sabina

rund um die PC-Sicherheit

#35 hallo,
ich finde keinen Report

Warning log

27.09.2006 23:30:05 1159392605 asus 396 Sign of "Win32:Small-TB [Trj]" has been found in "C:\WINDOWS\system32\ObjHelpr32.dll" file.
27.09.2006 23:30:07 1159392607 asus 396 Sign of "Win32:Small-TB [Trj]" has been found in "C:\WINDOWS\system32\ObjHelpr32.dll" file.
27.09.2006 23:50:37 1159393837 È’|nN
øá! 460 Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142.
27.09.2006 23:50:37 1159393837 È’|nN
øá! 460 An error has occured while attempting to update. Please check the logs.
28.09.2006 16:49:12 1159454952 asus 3228 Sign of "Win32:Small-TB [Trj]" has been found in "c:\windows\system32\objhelpr32.dll" file.
28.09.2006 17:12:52 1159456372 asus 3696 Function setifaceUpdatePackages() has failed. Return code is 0x000004C7, dwRes is 000004C7.
28.09.2006 19:35:07 1159464907 asus 3696 Sign of "Win32:Small-TB [Trj]" has been found in "C:\WINDOWS\system32\ObjHelpr32.dll" file.


Error log

28.09.2006 17:08:07 1159456087 asus 3820 Error in aswChestC: chestOpenList Error 1753.
28.09.2006 17:08:07 1159456087 asus 3820 aswChestInterface - Program error description: CChestListView::LoadFiles() chestOpenList() failed: 2147422219.
28.09.2006 17:08:21 1159456101 asus 3820 aswChestInterface - Program error description: CChestListView::OnCreate() !m_strErrorWnd.IsEmpty().
28.09.2006 22:23:20 1159475000 asus 2144 Error in aswChestC: chestOpenList Error 1753.
28.09.2006 22:23:20 1159475000 asus 2144 aswChestInterface - Program error description: CChestListView::LoadFiles() chestOpenList() failed: 2147422219.
28.09.2006 22:23:27 1159475007 asus 2144 aswChestInterface - Program error description: CChestListView::OnCreate() !m_strErrorWnd.IsEmpty().
28.09.2006 22:26:38 1159475198 asus 2748 Error in aswChestC: chestOpenList Error 1753.
28.09.2006 22:26:38 1159475198 asus 2748 aswChestInterface - Program error description: CChestListView::LoadFiles() chestOpenList() failed: 2147422219.
28.09.2006 22:26:48 1159475208 asus 2748 aswChestInterface - Program error description: CChestListView::OnCreate() !m_strErrorWnd.IsEmpty().

#36 Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\ObjHelpr32*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 5C3B-3507

Verzeichnis von c:\Dokumente und Einstellungen\asus\Recent

26.09.2006 14:44 654 ObjHelpr32.dll.lnk
28.09.2006 23:16 654 ObjHelpr32.txt.lnk
2 Datei(en) 1.308 Bytes

Verzeichnis von c:\WINDOWS\system32

29.09.2006 14:07 323.584 ObjHelpr32.dll
29.09.2006 14:07 65 ObjHelpr32.txt
2 Datei(en) 323.649 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 324.957 Bytes
0 Verzeichnis(se), 5.829.152.768 Bytes frei

#38 es ist sinnlos, wir drehen uns im Kreis
du wirst alles platt machen muessen ( auch D:\ )

Avenger

Zitat

Files to delete:
c:\Dokumente und Einstellungen\asus\Recent\ObjHelpr32.dll.lnk
c:\Dokumente und Einstellungen\asus\Recent\ObjHelpr32.txt.lnk
c:\WINDOWS\system32\ObjHelpr32.dll
c:\WINDOWS\system32\ObjHelpr32.txt

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

ObjHelpr32

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#39 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.09.2006 14:26:00 for strings:
; 'objhelpr32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F00C718-FFCA-4748-902B-45E14C4EBAFD}\InprocServer32]
@="C:\\WINDOWS\\system32\\ObjHelpr32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67C0867B-C274-4007-9FBF-840094CDA4E5}\InprocServer32]
@="C:\\WINDOWS\\system32\\ObjHelpr32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9CBCFF12-EEBC-4E22-8AD6-EBAE2D018355}\1.0\0\win32]
@="C:\\WINDOWS\\system32\\ObjHelpr32.dll"

[HKEY_USERS\S-1-5-21-842925246-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\\WINDOWS\\system32\\ObjHelpr32.dll"

[HKEY_USERS\S-1-5-21-842925246-1336601894-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"b"="C:\\WINDOWS\\system32\\ObjHelpr32.dll"

; End Of The Log...

#40 wenn eine Fehlermeldung kommt, so versuche es mehrmals, bis der Avenger reagiert

Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F00C718-FFCA-4748-902B-45E14C4EBAFD}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9CBCFF12-EEBC-4E22-8AD6-EBAE2D018355}

Files to delete:
c:\Dokumente und Einstellungen\asus\Recent\ObjHelpr32.dll.lnk
c:\Dokumente und Einstellungen\asus\Recent\ObjHelpr32.txt.lnk
c:\WINDOWS\system32\ObjHelpr32.dll
c:\WINDOWS\system32\ObjHelpr32.txt

dann ueberpruefe noch mal alles, in Windows (d und c ) und in der registry
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Ich kann aber den PC noch immer nicht normal starten!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oixjaiht

*******************

Script file located at: \??\C:\WINDOWS\system32\pnpnkknl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\Dokumente und Einstellungen\asus\Recent\ObjHelpr32.dll.lnk deleted successfully.
File c:\Dokumente und Einstellungen\asus\Recent\ObjHelpr32.txt.lnk deleted successfully.
File c:\WINDOWS\system32\ObjHelpr32.dll deleted successfully.
File c:\WINDOWS\system32\ObjHelpr32.txt deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F00C718-FFCA-4748-902B-45E14C4EBAFD} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9CBCFF12-EEBC-4E22-8AD6-EBAE2D018355} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#42 dann ueberpruefe noch mal alles, in Windows (d:\ und c:\ ) und in der registry (mit regsearch)
__________
MfG Sabina

rund um die PC-Sicherheit

#43 Also, nach dem Avenger ist alles gelöscht wenn ich normal starte.
Nur sobald ich auf den Explorer drücke steht der Sch...!!
Starte ich dann neu in die Systemwiederherstellung kann ich ganz normal Online gehen nur die ObjHelper32 ist auc wieder da!!
Nun ist guter Rat teuer!
MfG Fleckenzwerg

#44

Zitat

Starte ich dann neu in die Systemwiederherstellung

wieso Systemwiederherstellung ? klar, dass du damit auch den Virus wieder herstellst.
__________
MfG Sabina

rund um die PC-Sicherheit

#45 Ich meine Verzeichnissdienst wiederherstellung.
Das ist die einzige möglichkeit dass ich online gehen kann,