Google suche löst popup aus, und bestimmte URLs sind blockiert

#0
27.10.2006, 14:30
Member

Beiträge: 12
#1 Hallo Leute,

AdAware und Spybot S&D helfen mir nicht weiter. Auch 1-2 Virenscanner die ich probiert habe, kamen zu keinem Ergebnis.

Ich habe folgende Symptome:

Wenn ich bei google (und sogar bei anderen Suchmaschinen wie z.B. Altavista) etwas suche, dann öffnen sich oft (aber nicht immer) lästige Pop-ups mit Werbung und Links passend zum gesuchten Suchbegriff. Manchmal kommt auch eine Seitenumleitung der Suchresultate anstelle eines Popup (mal so, mal so...). Manchmal kommt auch gar nichts - so als ob es vom Suchbegriff abhängig wäre.

Außerdem scheint mein Internet etwas langsamer als normal zu reagieren und die Domainnamen von einigen Sicherheitssoftware Anbietern und Hilfeforen sind geblockt. (so zum Beispiel auch das Eure Forum) Die Blockade umgehe ich dadurch, daß ich gerade mit Knoppix Livelinux arbeite und Windoof umgehe.

Mir ist aufgefallen, daß im abgesicherten Modus die URL Blockade zwar noch weiterhin besteht, aber die popups und Umleitungen anscheinend weg sind.
(kann aber auch Zufall gewesen sein)

Ich habe also zwei Probleme:
- Lästtige popups und umleitungen
- Blockierte webadressen

Die Suche hier im Forum, brachte nichts zu Tage, was auf mein Problem hinweist.
(wenn auch einige Parallelitäten zu erkennen sind)

Habe gerade festgestellt, daß mein Desktop das gleiche Symptom hat, wie mein Notebook. Muss irgendeine Seite gewesen sein, ich ich mit beiden Geräten in letzter Zeit besucht habe.

Danke für die Hilfe,

Otti

Hier mein HJT Log file (persönliche Daten editiert) des Notebooks:

Scan saved at 13:34:47, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\TEMP\XLCF7F.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Dokumente und Einstellungen\*********\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by CompanyName
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=isaserver.isadom.meinedomain.com:8080;ftp=isaserver.isadom.meinedomain.com:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.meinedomain.com;192.168.40.*;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Class - {E29EB9C7-8699-7999-94CE-256C12900488} - C:\WINDOWS\xjyqu1.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe
O4 - Global Startup: Mobile User VPN.lnk = C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.meinedomain.com
O15 - Trusted Zone: *.meinedomain2.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://mail/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://mail/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://mail/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://mail/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://mail/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meinedomain.com
O17 - HKLM\Software\..\Telephony: DomainName = meinedomain.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meinedomain.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = meinedomain.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Avlib\SSScsiSV.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
Seitenanfang Seitenende
27.10.2006, 14:36
Member

Beiträge: 3716
#2 hallo, poste mal bitte eine filelist.
http://members.linzag.net/680262/filelist.zip
entpacke sie auf deinem desktop und öffne die filelist.bat
Nun öffnet sich dein editor. kopiere von jedem Verzeichniss die letzten 30 tage.
Stelle zuvor die ordneroptionen ein:
geh auf arbeitsplatz, dort das menü extras und dort ordneroptionen und die Registerkarte ansicht.
dateinamenerweiterungen bei bekannten Dateitypen ausblenden off
inhalten von systemordnern einblenden on
geschützte systemdateien ausblenden off
und bei versteckte Dateien alle einblenden on.
nun erstelle die filelist und poste sie
Seitenanfang Seitenende
27.10.2006, 15:16
Member

Themenstarter

Beiträge: 12
#3 Hallo Virenfinder !

UPDATE: Leider wurde Deine Antwort auf die untenstehende Filelist gelöscht (Doppelpost Filter ?)

Ich habe die von Dir zusätzlich geforderten Logs gaaaaaanz unten drangehängt. Von den drei verdächtigen Dateien war nur die dcxx.dll infiziert (siehe log)

-----------Original Message fogt hier-----------------------

Hier das Filelog der letzten ca. 30-40 Tage (ich schaetze, dass ich mir die Infektion so vor etwa 10-14 Tagen eingefangen hab):

Meinen Namen im Persoenliche Eninstellungen habe ich Editiert.....

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\

27.10.2006 14:57 43 filelist.txt
27.10.2006 14:44 1.063.440.384 hiberfil.sys
27.10.2006 14:44 792.723.456 pagefile.sys
27.10.2006 08:48 430 rapport.txt

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS

27.10.2006 14:47 7.680 cfgall.ini
27.10.2006 14:46 539.087 setupapi.log
27.10.2006 14:46 0 0.log
27.10.2006 14:45 1.660.297 WindowsUpdate.log
27.10.2006 14:44 2.048 bootstat.dat
27.10.2006 13:46 32.634 SchedLgU.Txt
27.10.2006 13:16 509.498 ntbtlog.txt
27.10.2006 10:51 3.166 IE4 Error Log.txt
26.10.2006 08:42 915 win.ini
11.10.2006 21:06 12.822 ModemLog_Fusion UMTS Quad-GPRS - 3G Modem.txt
05.10.2006 08:02 79.508 wmsetup.log

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system


----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system32

27.10.2006 14:50 383.588 perfh009.dat
27.10.2006 14:50 53.942 perfc009.dat
27.10.2006 14:50 395.074 perfh007.dat
27.10.2006 14:50 64.994 perfc007.dat
27.10.2006 14:50 906.376 PerfStringBackup.INI
26.10.2006 08:42 0 asfiles.txt
26.10.2006 08:38 2.550 Uninstall.ico
26.10.2006 08:38 1.406 Help.ico
26.10.2006 08:38 30.590 pavas.ico
23.10.2006 12:52 12.288 dcxx.dll
23.10.2006 08:35 1.158 wpa.dbl

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\Prefetch

27.10.2006 14:57 11.726 FIND.EXE-0EEAD1A7.pf
27.10.2006 14:57 37.382 CMD.EXE-034B0549.pf
27.10.2006 14:53 18.490 NOTEPAD.EXE-2F2D61E1.pf
27.10.2006 14:51 15.442 VERCLSID.EXE-28F52AD2.pf
27.10.2006 14:50 20.360 IGFXSRVC.EXE-1D88F978.pf
27.10.2006 14:49 50.442 WMIPRVSE.EXE-0D449B4F.pf
27.10.2006 14:49 38.476 WMIADAP.EXE-32F99497.pf
27.10.2006 14:48 22.006 WINZIP32.EXE-2F3C90C9.pf
27.10.2006 14:47 31.104 RUNDLL32.EXE-5C300474.pf
27.10.2006 14:47 7.202 TOSBTHID.EXE-0A112DB9.pf
27.10.2006 14:47 14.154 TOSA2DP.EXE-1D660273.pf
27.10.2006 14:47 18.120 SAFECFG.EXE-2483DA62.pf
27.10.2006 14:47 23.772 TOSBTMNG.EXE-336EE72C.pf
27.10.2006 14:47 26.346 IFINGER.EXE-1BA941E7.pf
27.10.2006 14:47 21.242 TEATIMER.EXE-08FD41B0.pf
27.10.2006 14:47 23.838 MSMSGS.EXE-1D037CD3.pf
27.10.2006 14:47 13.684 ACROTRAY.EXE-1AAAE59A.pf
27.10.2006 14:47 28.946 SWITCHER.EXE-2A0F258A.pf
27.10.2006 14:46 10.034 JUSCHED.EXE-2992C5B5.pf
27.10.2006 14:46 15.140 PCCNTMON.EXE-1DF8CF58.pf
27.10.2006 14:46 7.336 FPASSIST.EXE-0FA62707.pf
27.10.2006 14:46 21.012 SPMGR.EXE-2B4512C9.pf
27.10.2006 14:46 14.894 ISBMGR.EXE-237B28FB.pf
27.10.2006 14:46 8.550 APNTEX.EXE-2C8A001B.pf
27.10.2006 14:46 23.486 IMAPI.EXE-201490BB.pf
27.10.2006 14:46 22.436 VAIOUPDT.EXE-1808335A.pf
27.10.2006 14:46 38.686 APOINT.EXE-1ACC1F58.pf
27.10.2006 14:46 10.168 HKCMD.EXE-0F06AE14.pf
27.10.2006 14:46 10.634 IGFXPERS.EXE-19DA7B04.pf
27.10.2006 14:46 10.338 AZMIXERSEL.EXE-2F6E63FF.pf
27.10.2006 14:46 12.368 IGFXTRAY.EXE-0A23D403.pf
27.10.2006 14:46 90.182 EXPLORER.EXE-02121B1A.pf
27.10.2006 14:46 11.356 ALCMTR.EXE-01A7139B.pf
27.10.2006 14:46 27.070 WUAUCLT.EXE-1360D60A.pf
27.10.2006 14:46 29.570 USERINIT.EXE-0743FDA9.pf
27.10.2006 14:46 78.718 TSC.EXE-24356832.pf
27.10.2006 14:46 50.408 ALG.EXE-275708CF.pf
27.10.2006 14:46 19.040 IFCFG.EXE-1AF8EEBB.pf
27.10.2006 14:46 44.210 GYFBAD.EXE-024B450B.pf
27.10.2006 13:44 81.032 IEXPLORE.EXE-360BBB5C.pf
27.10.2006 13:34 16.058 HIJACKTHIS.EXE-2819A07C.pf
27.10.2006 13:33 18.138 TOSBTHSP.EXE-167B2016.pf
27.10.2006 13:33 14.298 CTFMON.EXE-05E57A5E.pf
27.10.2006 13:32 8.256 PCCNTUPD.EXE-315A543B.pf
27.10.2006 13:32 29.918 XLCF7F.EXE-10D28A93.pf
27.10.2006 13:06 56.634 RUNDLL32.EXE-3CADD0BA.pf
27.10.2006 13:05 14.810 UNWISE.EXE-319AED61.pf
27.10.2006 12:33 55.554 HELPSVC.EXE-1C192440.pf
27.10.2006 12:32 232.876 Layout.ini
27.10.2006 12:25 10.176 LOGON.SCR-24ADF392.pf
27.10.2006 12:04 7.242 ICO.EXE-0C053098.pf
27.10.2006 12:04 42.194 WS30BC.EXE-35DC34AE.pf
27.10.2006 11:20 67.170 SPYBOTSD.EXE-11965456.pf
27.10.2006 11:06 48.848 RUNDLL32.EXE-5BEC56A6.pf
27.10.2006 11:04 28.674 AD-AWARE.EXE-063A652A.pf
27.10.2006 10:51 36.168 DWWIN.EXE-2C373FB7.pf
27.10.2006 10:51 26.784 IEDW.EXE-062D8B1C.pf
27.10.2006 10:29 58.484 EXCEL.EXE-36C8C668.pf
27.10.2006 10:25 44.882 WINWORD.EXE-218A1AF8.pf
27.10.2006 10:25 51.510 OUTLOOK.EXE-29875EE0.pf
27.10.2006 09:16 18.346 RUNDLL32.EXE-6E8D4657.pf

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\tasks

27.10.2006 14:44 6 SA.DAT

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\Temp

27.10.2006 14:45 0 JETEEFE.tmp
27.10.2006 14:45 0 JETE375.tmp

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\DOKUME~1\**********\LOKALE~1\Temp

27.10.2006 14:51 43.334 jusched.log
27.10.2006 14:46 16.384 ~DFF8B6.tmp
27.10.2006 13:05 1.423 GLC2.tmp
27.10.2006 13:05 68 GLC1.tmp
27.10.2006 10:51 121.527 coredmp
27.10.2006 10:50 1.742 ExchangePerflog_8484fa312689201ecfcccd43.dat
26.10.2006 16:57 798.234 IMT1E.xml
26.10.2006 16:57 426 IMT1D.xml
26.10.2006 16:57 2.036 IMT1C.xml
26.10.2006 13:10 798.234 IMT313.xml
26.10.2006 13:10 426 IMT312.xml
26.10.2006 13:10 2.036 IMT311.xml
26.10.2006 13:10 798.234 IMT310.xml
26.10.2006 13:10 426 IMT30F.xml
26.10.2006 13:10 2.036 IMT30E.xml
26.10.2006 13:09 798.234 IMT308.xml
26.10.2006 13:09 426 IMT307.xml
26.10.2006 13:09 2.036 IMT306.xml
26.10.2006 13:09 798.234 IMT305.xml
26.10.2006 13:09 426 IMT304.xml
26.10.2006 13:09 2.036 IMT303.xml
25.10.2006 17:15 831 hostsbak.bak
23.10.2006 17:09 52.132 a1dd_appcompat.txt
23.10.2006 12:52 12.288 m
23.10.2006 10:05 16.384 ~WRF0003.tmp
23.10.2006 08:43 939 jupdate1.5.0.xml
20.10.2006 16:19 11.246 java_install_reg.log
17.10.2006 17:50 52.132 d427_appcompat.txt
03.10.2006 23:04 52.132 6f0b_appcompat.txt
03.10.2006 10:22 52.132 3bec_appcompat.txt
30.09.2006 03:30 485.670 _INSTALL.INF
30.09.2006 03:30 446.976 _Install.exe
30.09.2006 03:30 41.472 Install.exe
30.09.2006 03:30 2.903.627 _install.cab
30.09.2006 03:30 55 _INSTALL.FIL
30.09.2006 03:30 425 _install.txt
30.09.2006 03:30 4.567 License.txt
30.09.2006 03:30 23 INSTALL.INI
------------------------------------------------------------------


Zusätzlich hinzueditiert folgende neue Logs:


STATUS: FINISHEDComplete scanning result of "dcxx.dll", received in VirusTotal at 10.27.2006, 16:52:56 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.34 10.27.2006 TR/Dldr.LinkOptimiz
Authentium 4.93.8 10.27.2006 no virus found
Avast 4.7.892.0 10.27.2006 no virus found
AVG 386 10.27.2006 Generic2.FKF
BitDefender 7.2 10.27.2006 no virus found
CAT-QuickHeal 8.00 10.27.2006 no virus found
ClamAV devel-20060426 10.27.2006 no virus found
DrWeb 4.33 10.27.2006 no virus found
eTrust-InoculateIT 23.73.38 10.27.2006 no virus found
eTrust-Vet 30.3.3162 10.27.2006 no virus found
Ewido 4.0 10.27.2006 no virus found
Fortinet 2.82.0.0 10.27.2006 no virus found
F-Prot 3.16f 10.27.2006 no virus found
F-Prot4 4.2.1.29 10.27.2006 no virus found
Ikarus 0.2.65.0 10.27.2006 no virus found
Kaspersky 4.0.2.24 10.27.2006
McAfee 4882 10.26.2006 no virus found
Microsoft 1.1609 10.26.2006 no virus found
NOD32v2 1.1841 10.27.2006 Win32/Gromoz.K
Norman 5.80.02 10.27.2006 no virus found
Panda 9.0.0.4 10.27.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.106 10.26.2006 Trojan/Pakes
UNA 1.83 10.27.2006 Trojan.Win32.Pakes.B1AA
VBA32 3.11.1 10.26.2006 no virus found
VirusBuster 4.3.15:9 10.27.2006 no virus found

-------------------------------------------------

SmitFraudFix v2.114

Scan done at 18:22:42,48, 27.10.2006
Run from C:\Dokumente und Einstellungen\diezo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\diezo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\diezo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\diezo\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

--------------------------------------------------------------------

SmitFraudFix v2.114

Scan done at 18:29:29,57, 27.10.2006
Run from C:\Dokumente und Einstellungen\diezo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

---------------------------------------------------------------

DiezO - 06-10-27 19:35:13,79 Service Pack 2
ComboFix 06.10.19 - Running from: "G:\"

((((((((((((((((((((((((((((((( Files Created from 2006-09-27 to 2006-10-27 ))))))))))))))))))))))))))))))))))


2006-10-27 08:46 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-27 08:46 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-27 08:46 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-27 08:46 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-23 12:52 12,288 --a------ C:\WINDOWS\system32\dcxx.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-27 15:41 -------- d-------- C:\Programme\iFinger
2006-10-27 08:41 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\uTorrent
2006-10-26 09:09 -------- d-------- C:\Programme\Messenger
2006-10-26 09:08 -------- d-------- C:\Programme\Internet Explorer
2006-10-26 09:07 -------- d-------- C:\Programme\Google
2006-10-26 09:05 -------- d-------- C:\Programme\FreePDF_XP
2006-10-26 09:05 -------- d-------- C:\Programme\Apoint
2006-10-24 14:34 -------- d-------- C:\Programme\Lavasoft
2006-10-24 14:34 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Lavasoft
2006-10-04 22:27 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Opera
2006-09-25 17:12 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-25 17:12 -------- d-------- C:\Programme\Oracle
2006-09-09 14:51 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Sonic
2006-09-09 14:51 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Leadertech
2006-09-09 13:42 -------- d---s---- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Microsoft
2006-09-09 13:42 -------- d-------- C:\Programme\CDBurnerXP Pro 3


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"Alcmtr"="ALCMTR.EXE"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"Mouse Suite 98 Daemon"="ICO.EXE"
"SonyPowerCfg"="C:\\Programme\\Sony\\VAIO Power Management\\SPMgr.exe"
"ISBMgr.exe"="C:\\Programme\\Sony\\ISB Utility\\ISBMgr.exe"
"Switcher.exe"="C:\\Programme\\Sony\\Wireless Switch Setting Utility\\Switcher.exe"
"VAIO Update 2"="\"C:\\Programme\\Sony\\VAIO Update 2\\VAIOUpdt.exe\" /Stationary"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"OfficeScanNT Monitor"="\"C:\\Programme\\Trend Micro\\OfficeScan Client\\pccntmon.exe\" -HideWindow"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-27 19:39:50.42
C:\ComboFix.txt ... 06-10-27 19:39
Dieser Beitrag wurde am 27.10.2006 um 20:48 Uhr von ottilein editiert.
Seitenanfang Seitenende
27.10.2006, 21:08
Member

Beiträge: 3716
#4 hallo, bitte ein neues hijackthislog und die filelist.
Seitenanfang Seitenende
27.10.2006, 21:37
Member

Themenstarter

Beiträge: 12
#5 Hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 21:27:06, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\TEMP\OIF7BC.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programme\uTorrent\utorrent.exe
C:\Dokumente und Einstellungen\diezo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Companyname
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=isaserver.isadom.meinedomain.com:8080;ftp=isaserver.isadom.meinedomain.com:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.meinedomain.com;192.168.40.*;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Class - {E29EB9C7-8699-7999-94CE-256C12900488} - C:\WINDOWS\xjyqu1.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Mobile User VPN.lnk = C:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.meinedomain.com
O15 - Trusted Zone: *.meinealternativdomain.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://mail/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://mail/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://mail/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://mail/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://mail/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meinedomain.com
O17 - HKLM\Software\..\Telephony: DomainName = meinedomain.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meinedomain.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = meinedomain.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Avlib\SSScsiSV.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

-----------------------------------------------------------------------


----- Root -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\

27.10.2006 21:27 43 filelist.txt
27.10.2006 21:19 1.063.440.384 hiberfil.sys
27.10.2006 21:19 792.723.456 pagefile.sys

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS

27.10.2006 21:22 543.507 setupapi.log
27.10.2006 21:21 1.709.017 WindowsUpdate.log
27.10.2006 21:21 0 0.log
27.10.2006 21:19 2.048 bootstat.dat
27.10.2006 19:49 32.634 SchedLgU.Txt
27.10.2006 18:35 220.564 setupact.log
27.10.2006 18:27 715.610 ntbtlog.txt
27.10.2006 16:52 7.680 cfgall.ini
27.10.2006 10:51 3.166 IE4 Error Log.txt
26.10.2006 08:42 915 win.ini
11.10.2006 21:06 12.822 ModemLog_Fusion UMTS Quad-GPRS - 3G Modem.txt
05.10.2006 08:02 79.508 wmsetup.log

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system


----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system32

27.10.2006 21:25 383.588 perfh009.dat
27.10.2006 21:25 53.942 perfc009.dat
27.10.2006 21:25 395.074 perfh007.dat
27.10.2006 21:25 64.994 perfc007.dat
27.10.2006 21:25 906.376 PerfStringBackup.INI
26.10.2006 08:42 0 asfiles.txt
26.10.2006 08:38 2.550 Uninstall.ico
26.10.2006 08:38 1.406 Help.ico
26.10.2006 08:38 30.590 pavas.ico
23.10.2006 12:52 12.288 dcxx.dll
23.10.2006 08:35 1.158 wpa.dbl

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\Prefetch

27.10.2006 21:27 12.092 FIND.EXE-0EEAD1A7.pf
27.10.2006 21:27 13.254 CMD.EXE-034B0549.pf
27.10.2006 21:27 16.076 HIJACKTHIS.EXE-2819A07C.pf
27.10.2006 21:26 17.802 NOTEPAD.EXE-2F2D61E1.pf
27.10.2006 21:26 13.848 RUNDLL32.EXE-6E8D4657.pf
27.10.2006 21:24 26.742 WMIPRVSE.EXE-0D449B4F.pf
27.10.2006 21:24 39.458 WMIADAP.EXE-32F99497.pf
27.10.2006 21:22 28.288 UTORRENT.EXE-2069FEB1.pf
27.10.2006 21:22 81.558 IEXPLORE.EXE-360BBB5C.pf
27.10.2006 21:22 8.362 PCCNTUPD.EXE-315A543B.pf
27.10.2006 21:21 18.934 IFCFG.EXE-1AF8EEBB.pf
27.10.2006 21:21 71.634 TSC.EXE-24356832.pf
27.10.2006 21:21 48.684 ALG.EXE-275708CF.pf
27.10.2006 21:21 17.886 TOSBTHSP.EXE-167B2016.pf
27.10.2006 21:21 7.214 TOSBTHID.EXE-0A112DB9.pf
27.10.2006 21:21 49.004 WUAUCLT.EXE-1360D60A.pf
27.10.2006 21:21 14.166 TOSA2DP.EXE-1D660273.pf
27.10.2006 21:21 17.428 IMAPI.EXE-201490BB.pf
27.10.2006 21:21 23.460 TOSBTMNG.EXE-336EE72C.pf
27.10.2006 21:21 18.108 SAFECFG.EXE-2483DA62.pf
27.10.2006 21:21 28.062 MSMSGS.EXE-1D037CD3.pf
27.10.2006 21:21 41.022 USERINIT.EXE-0743FDA9.pf
27.10.2006 21:21 79.056 TEATIMER.EXE-08FD41B0.pf
27.10.2006 21:21 14.322 CTFMON.EXE-05E57A5E.pf
27.10.2006 19:48 62.084 EXPLORER.EXE-02121B1A.pf
27.10.2006 19:48 16.988 VERCLSID.EXE-28F52AD2.pf
27.10.2006 19:40 10.118 NIRCMD.EXE-23972F4A.pf
27.10.2006 19:40 14.332 NIRCMD.EXE-2F68E642.pf
27.10.2006 19:39 13.420 REGEDIT.EXE-2AE3423E.pf
27.10.2006 19:39 10.160 SWREG.EXE-166A747A.pf
27.10.2006 19:39 14.500 FINDSTR.EXE-1A4FC238.pf
27.10.2006 19:37 11.534 SORT.EXE-19728AC5.pf
27.10.2006 19:36 7.352 CHCP.COM-17EDBDC9.pf
27.10.2006 19:36 10.614 COMBOFIX.EXE-043BAAA0.pf
27.10.2006 19:36 11.810 SC.EXE-01D6BB00.pf
27.10.2006 19:35 28.884 UPGRADE.EXE-37976E21.pf
27.10.2006 19:35 24.264 SWREG.EXE-0163B7DA.pf
27.10.2006 19:34 24.382 COMBOFIX.EXE-0CE75C7A.pf
27.10.2006 19:34 9.846 SWREG.EXE-31311B26.pf
27.10.2006 19:34 9.398 NIRCMD.EXE-22F1ABAF.pf
27.10.2006 19:32 10.872 IGFXEXT.EXE-05A27A3D.pf
27.10.2006 19:32 15.296 PCCNTMON.EXE-1DF8CF58.pf
27.10.2006 19:32 23.364 SPMGR.EXE-2B4512C9.pf
27.10.2006 19:32 12.890 FPASSIST.EXE-0FA62707.pf
27.10.2006 19:32 15.782 IGFXSRVC.EXE-1D88F978.pf
27.10.2006 19:32 14.930 ISBMGR.EXE-237B28FB.pf
27.10.2006 19:32 10.132 JUSCHED.EXE-2992C5B5.pf
27.10.2006 19:32 8.550 APNTEX.EXE-2C8A001B.pf
27.10.2006 19:32 8.036 OYE113.EXE-03421223.pf
27.10.2006 19:32 7.242 ICO.EXE-0C053098.pf
27.10.2006 19:32 38.280 APOINT.EXE-1ACC1F58.pf
27.10.2006 19:32 10.524 IGFXPERS.EXE-19DA7B04.pf
27.10.2006 19:32 10.542 HKCMD.EXE-0F06AE14.pf
27.10.2006 19:32 10.398 AZMIXERSEL.EXE-2F6E63FF.pf
27.10.2006 19:32 32.320 IGFXTRAY.EXE-0A23D403.pf
27.10.2006 19:32 11.348 ALCMTR.EXE-01A7139B.pf
27.10.2006 19:32 20.100 VZFW.EXE-37F76544.pf
27.10.2006 19:32 17.102 OFCPFWSVC.EXE-32FECB96.pf
27.10.2006 19:32 10.922 VZCDBSVC.EXE-1A510955.pf
27.10.2006 18:23 13.618 NOTEPAD.EXE-2DAE2DE6.pf
27.10.2006 18:22 8.704 SWREG.EXE-23B71DAE.pf
27.10.2006 18:22 6.614 SRCHSTS.EXE-274245E6.pf
27.10.2006 18:22 22.982 CSCRIPT.EXE-0A13A05C.pf
27.10.2006 18:21 33.872 WINZIP32.EXE-2F3C90C9.pf
27.10.2006 18:15 9.954 LOGON.SCR-24ADF392.pf
27.10.2006 17:29 64.314 RUNDLL32.EXE-5C300474.pf
27.10.2006 16:51 13.684 ACROTRAY.EXE-1AAAE59A.pf
27.10.2006 16:51 28.946 SWITCHER.EXE-2A0F258A.pf
27.10.2006 16:51 22.436 VAIOUPDT.EXE-1808335A.pf
27.10.2006 16:50 44.296 CC94D3.EXE-17CD491C.pf
27.10.2006 16:03 69.456 EXCEL.EXE-36C8C668.pf
27.10.2006 16:00 12.398 RUNDLL32.EXE-4FF9832D.pf
27.10.2006 15:53 68.068 WINWORD.EXE-218A1AF8.pf
27.10.2006 15:52 68.598 OUTLOOK.EXE-29875EE0.pf
27.10.2006 15:41 10.786 GLB1A2B.EXE-0913FD07.pf
27.10.2006 15:41 16.040 UNWISE.EXE-319AED61.pf
27.10.2006 15:40 73.808 RUNDLL32.EXE-3CADD0BA.pf
27.10.2006 15:40 26.740 IFINGER.EXE-1BA941E7.pf
27.10.2006 15:39 29.770 VOED94.EXE-2F0BECC5.pf
27.10.2006 14:46 44.210 GYFBAD.EXE-024B450B.pf
27.10.2006 13:32 29.918 XLCF7F.EXE-10D28A93.pf
27.10.2006 12:33 55.554 HELPSVC.EXE-1C192440.pf
27.10.2006 12:32 232.876 Layout.ini
27.10.2006 12:04 42.194 WS30BC.EXE-35DC34AE.pf
27.10.2006 11:20 67.170 SPYBOTSD.EXE-11965456.pf
27.10.2006 11:06 48.848 RUNDLL32.EXE-5BEC56A6.pf
27.10.2006 11:04 28.674 AD-AWARE.EXE-063A652A.pf
27.10.2006 10:51 36.168 DWWIN.EXE-2C373FB7.pf
27.10.2006 10:51 26.784 IEDW.EXE-062D8B1C.pf

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\tasks

27.10.2006 21:19 6 SA.DAT

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\Temp

27.10.2006 21:20 0 JETAF27.tmp
27.10.2006 21:20 0 JET9749.tmp

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\DOKUME~1\diezo\LOKALE~1\Temp

27.10.2006 21:26 206 jusched.log
27.10.2006 21:21 16.384 ~DF3D43.tmp
2 Datei(en) 16.590 Bytes
0 Verzeichnis(se), 22.983.442.432 Bytes frei
Seitenanfang Seitenende
27.10.2006, 21:43
Member

Beiträge: 3716
#6 hallo,
1. hijackthis muss in einen eigenen ordner wegen backups!
c:\programme\hijackthis
fixe nun im abgesicherten modus:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Companyname
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=isaserver.isadom.meinedomain.com:8080;ftp=isaserver.isadom.meinedomain.com:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.meinedomain.com;192.168.40.*;<local>
R3 - Default URLSearchHook is missing
und alle o17-einträge.
falls es danach probleme mit dem internet gibt, spiele sie erstmal zurück
ich denke mal meinehomepage.com ist nicht von dir gewollt?
wenn nein, wie gesagt fixen dann in den normalen modus noch n neues log. besteht dein problem weiterhin?
unabhänig davon sind wir aber noch nciht fertig!
Seitenanfang Seitenende
27.10.2006, 21:53
Member

Themenstarter

Beiträge: 12
#7 Doch, doch !!!!

Die Einträge meinedomain.com sind gewollt !
(meinedomain ist nur anonymisiert, da steht sonst mein Servername)

Soll ich trotzdem mal fixen und danach evtl. wiederherstellen ?
Oder macht das dann keinen Sinn ?

Übrigens funktioniert Hijackthis auch auf dem Desktop. Er legt dann den Backupfolder automatisch auf dem Desktop an....

Ottilein
Seitenanfang Seitenende
27.10.2006, 21:57
Member

Beiträge: 3716
#8 nein, dann natürlich nicht... hast du denn noch probleme?
führe counterspy nach dieser anleitung aus:
http://virus-protect.org/counterspy.html
immer remove klicken, bis nichts mehr gefunden wird. alle logs posten.
weiterhin hochladen und scannen:
C:\WINDOWS\TEMP\XLCF7F.EXE
http://www.virustotal.com/en/indexf.html
Dieser Beitrag wurde am 27.10.2006 um 22:04 Uhr von virenfinder editiert.
Seitenanfang Seitenende
27.10.2006, 22:09
Member

Themenstarter

Beiträge: 12
#9 Hi Virenfinder,

die C:\WINDOWS\TEMP\XLCF7F.EXE
war mir auch erst verdächtig, ist aber ein
Teil meines Virenscanners (TrendMicro).
Der hat im WINDOWS\TEMP immer eine
zufällig benannte EXE als Prozess laufen.
Ist ein Watchdog, um festzustellen ob ein
Virus evtl. den Virenscanner deaktiviert.
Der zufällig generierte Filename dient zum
Schutz, damit er nicht von Viren gleich
erkannt wird.

Habe gerade festgestellt, daß die R1 und R3 Einträge
die ich fixen sollte, im abgesicherten Modus gar nicht
vorhanden sind. Nur im Normalmodus. Lediglich die O17
Dinger sind im abgesicherten Modus vorhanden.
(und ist wie gesagt meine Büro Domain)
Seitenanfang Seitenende
27.10.2006, 22:12
Member

Beiträge: 3716
#10 und meine anderen fragen?
fixen kannst du aber:
O2 - BHO: Class - {E29EB9C7-8699-7999-94CE-256C12900488} - C:\WINDOWS\xjyqu1.dll (file missing)
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
Seitenanfang Seitenende
27.10.2006, 22:25
Member

Themenstarter

Beiträge: 12
#11 Counterspy download läuft gerade.....

Melde mich dann in kürze mit den logs.

Die Einträge O2, R3 und der andere O2 sind ebenfalls im
abgesichertem Modus nicht zu sehen.

Nur im Normalmodus zu sehen. Wenn ich die Fixe, dann sind die weg.
Aber nach dem nächsten Browserstart wieder vorhanden !

Ausserdem sind immernoch diverse Security Seiten nicht erreichbar (blockiert).
Dazu gehört auch dieses Forum hier, daher schreib ich vom Zweitrechner.
Auch der Spybot S&D Update Server und diverse andere Anti-Virus Seiten.

Interessant ist das dies auch im Abgesicherten Modus "blockt", aber die Popups und Werbeumleitungen im abgesichertem modus nicht passieren.
(vielleicht hilft dieser Hinweis weiter)

Was hat es eigentlich hiermit zu tun - kommen wir da später zu ?
"O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing"


Ottilein


-------NACHTRAG--------

Counterspy hat nur ein Cookie gefunden - siehe LOG:
Die andere .EXE Datei in WINDOWS\TEMP war nicht infiziert.....


Spyware Scan Details
Start Date: 27.10.2006 22:33:30
End Date: 27.10.2006 23:04:34
Total Time: 31 mins 4 secs

Detected spyware

Cookie: ad.yieldmanager Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\diezo\cookies\diezo@ad.yieldmanager[1].txt
Dieser Beitrag wurde am 27.10.2006 um 23:43 Uhr von ottilein editiert.
Seitenanfang Seitenende
28.10.2006, 09:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ottilein

1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\dcxx.dll

poste den report

2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2006, 10:35
Member

Themenstarter

Beiträge: 12
#13 Hallo Sabina,

hatte ich schon für Virusfinder gestern gescannt:

DCXX.dll ist infiziert (Ad Aware findet auch den "Linkotimizer"
und fixt es, aber nach rebot ist er anscheinend wieder da)

Hier die beiden Logs von gestern:
--------------------------------


STATUS: FINISHEDComplete scanning result of "dcxx.dll", received in VirusTotal at 10.27.2006, 16:52:56 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.34 10.27.2006 TR/Dldr.LinkOptimiz
Authentium 4.93.8 10.27.2006 no virus found
Avast 4.7.892.0 10.27.2006 no virus found
AVG 386 10.27.2006 Generic2.FKF
BitDefender 7.2 10.27.2006 no virus found
CAT-QuickHeal 8.00 10.27.2006 no virus found
ClamAV devel-20060426 10.27.2006 no virus found
DrWeb 4.33 10.27.2006 no virus found
eTrust-InoculateIT 23.73.38 10.27.2006 no virus found
eTrust-Vet 30.3.3162 10.27.2006 no virus found
Ewido 4.0 10.27.2006 no virus found
Fortinet 2.82.0.0 10.27.2006 no virus found
F-Prot 3.16f 10.27.2006 no virus found
F-Prot4 4.2.1.29 10.27.2006 no virus found
Ikarus 0.2.65.0 10.27.2006 no virus found
Kaspersky 4.0.2.24 10.27.2006
McAfee 4882 10.26.2006 no virus found
Microsoft 1.1609 10.26.2006 no virus found
NOD32v2 1.1841 10.27.2006 Win32/Gromoz.K
Norman 5.80.02 10.27.2006 no virus found
Panda 9.0.0.4 10.27.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.106 10.26.2006 Trojan/Pakes
UNA 1.83 10.27.2006 Trojan.Win32.Pakes.B1AA
VBA32 3.11.1 10.26.2006 no virus found
VirusBuster 4.3.15:9 10.27.2006 no virus found

---------------------------------------------------------------

DiezO - 06-10-27 19:35:13,79 Service Pack 2
ComboFix 06.10.19 - Running from: "G:\"

((((((((((((((((((((((((((((((( Files Created from 2006-09-27 to 2006-10-27 ))))))))))))))))))))))))))))))))))


2006-10-27 08:46 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-27 08:46 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-27 08:46 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-27 08:46 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-23 12:52 12,288 --a------ C:\WINDOWS\system32\dcxx.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-27 15:41 -------- d-------- C:\Programme\iFinger
2006-10-27 08:41 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\uTorrent
2006-10-26 09:09 -------- d-------- C:\Programme\Messenger
2006-10-26 09:08 -------- d-------- C:\Programme\Internet Explorer
2006-10-26 09:07 -------- d-------- C:\Programme\Google
2006-10-26 09:05 -------- d-------- C:\Programme\FreePDF_XP
2006-10-26 09:05 -------- d-------- C:\Programme\Apoint
2006-10-24 14:34 -------- d-------- C:\Programme\Lavasoft
2006-10-24 14:34 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Lavasoft
2006-10-04 22:27 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Opera
2006-09-25 17:12 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-25 17:12 -------- d-------- C:\Programme\Oracle
2006-09-09 14:51 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Sonic
2006-09-09 14:51 -------- d-------- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Leadertech
2006-09-09 13:42 -------- d---s---- C:\Dokumente und Einstellungen\diezo\Anwendungsdaten\Microsoft
2006-09-09 13:42 -------- d-------- C:\Programme\CDBurnerXP Pro 3


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"Alcmtr"="ALCMTR.EXE"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"Mouse Suite 98 Daemon"="ICO.EXE"
"SonyPowerCfg"="C:\\Programme\\Sony\\VAIO Power Management\\SPMgr.exe"
"ISBMgr.exe"="C:\\Programme\\Sony\\ISB Utility\\ISBMgr.exe"
"Switcher.exe"="C:\\Programme\\Sony\\Wireless Switch Setting Utility\\Switcher.exe"
"VAIO Update 2"="\"C:\\Programme\\Sony\\VAIO Update 2\\VAIOUpdt.exe\" /Stationary"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"OfficeScanNT Monitor"="\"C:\\Programme\\Trend Micro\\OfficeScan Client\\pccntmon.exe\" -HideWindow"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,10,01,00,00,00,00,00,00,40,04,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-27 19:39:50.42
C:\ComboFix.txt ... 06-10-27 19:39
Seitenanfang Seitenende
28.10.2006, 11:17
Member

Beiträge: 3716
#14 bitte folgendes hochladen:
C:\WINDOWS\system32\swsc.exe

und ergebnisse posten
Dieser Beitrag wurde am 28.10.2006 um 11:43 Uhr von virenfinder editiert.
Seitenanfang Seitenende
28.10.2006, 11:50
Member

Themenstarter

Beiträge: 12
#15 Die dcxx.dll ist infiziert (log unten)
die swsc.exe nicht !


---------------------------------



STATUS: FINISHEDComplete scanning result of "dcxx.dll", received in VirusTotal at 10.28.2006, 11:52:56 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.34 10.27.2006 TR/Dldr.LinkOptimiz
Authentium 4.93.8 10.27.2006 no virus found
Avast 4.7.892.0 10.27.2006 no virus found
AVG 386 10.27.2006 Generic2.FKF
BitDefender 7.2 10.27.2006 no virus found
CAT-QuickHeal 8.00 10.27.2006 no virus found
ClamAV devel-20060426 10.27.2006 no virus found
DrWeb 4.33 10.27.2006 no virus found
eTrust-InoculateIT 23.73.38 10.27.2006 no virus found
eTrust-Vet 30.3.3162 10.27.2006 no virus found
Ewido 4.0 10.27.2006 no virus found
Fortinet 2.82.0.0 10.27.2006 no virus found
F-Prot 3.16f 10.27.2006 no virus found
F-Prot4 4.2.1.29 10.27.2006 no virus found
Ikarus 0.2.65.0 10.27.2006 no virus found
Kaspersky 4.0.2.24 10.27.2006
McAfee 4882 10.26.2006 no virus found
Microsoft 1.1609 10.26.2006 no virus found
NOD32v2 1.1841 10.27.2006 Win32/Gromoz.K
Norman 5.80.02 10.27.2006 no virus found
Panda 9.0.0.4 10.27.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.106 10.26.2006 Trojan/Pakes
UNA 1.83 10.27.2006 Trojan.Win32.Pakes.B1AA
VBA32 3.11.1 10.26.2006 no virus found
VirusBuster 4.3.15:9 10.27.2006 no virus found
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: