TR/Dldr.ConHook.Gen lässt sich nicht Entfernen.

#0
15.02.2007, 19:12
Member

Beiträge: 104
#1 Hallo hab seit letzte Woche den drecks Trojaner aufm Rechner.Antivir findet zwar was aber bekommt ihn net weg.Da ich jetzt nicht gerade so die Computer Leuchte bin ist das ziemlich doof und ich hab echt kein bock meine platte wieder zu löschen.

Hier mein Hijackthis LOG

schonmal danke im vorraus.


Logfile of HijackThis v1.99.1
Scan saved at 19:07:44, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gpotato.com/register/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {32031715-0682-3851-A63F-56C30BE4BF3B} - (no file)
O2 - BHO: CIEPl Object - {3D70343E-636E-4FDC-AFF1-5907C3C4021F} - C:\WINDOWS\system32\syspcap.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6F62AF49-4E69-4B5E-9452-A9335B7CE277} - C:\WINDOWS\system32\rzbnz.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - (no file)
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - (no file)
O2 - BHO: (no name) - {7D47E8FA-AA5B-4528-B52F-BC0DCDE4F72b} - C:\WINDOWS\system32\jciishka.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: syspcap - C:\WINDOWS\SYSTEM32\syspcap.dll
O20 - Winlogon Notify: tjukhiqv - C:\WINDOWS\SYSTEM32\tjukhiqv.dll
O20 - Winlogon Notify: xbjfcepu - C:\WINDOWS\SYSTEM32\rzbnz.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Seitenanfang Seitenende
16.02.2007, 11:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Dasmo

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2007, 01:48
...neu hier

Beiträge: 2
#3 Hallo zusammen,

ich habe das selbe Problem wie der Threadersteller. Bei mir ist es die datei glogglo.dll und die bak-version derselben. Antivira und Kaspersky erkennen den Virus mittlerweile aber können nicht löschen. Rechte fehlen.
Im abgesicherten Modus das selbe.
Auch Avenger und Killbox sind machtlos.
Ich weiß nicht mehr was ich tun soll - kein Prog kann das Ding löschen ;)
Seitenanfang Seitenende
08.03.2007, 09:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 buffy

das kann man mit einem spezialproggie reinigen ;)
vorher:

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«»
poste dieses log
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2007, 12:11
...neu hier

Beiträge: 2
#5 hallo sabina, danke für die schnelle antwort ;)

also den cleanup hab ich bereits so einmal durchlaufen lassen - vor 2 tagen. Das Problem war, dass er mitten im Betrieb einfach einen reboot gemacht hat, ich habe dann jeweils wieder cleanup durchlaufen lassen bis er komplett durch war. Mir kommt es so vor, als ob der Virus "sich wehrt" und immer wenns im an den Kragen geht, dann gibts nen reboot. So geschiehts nämlich auch, wenn ich Antivira sage, er soll der datei alle zugriffe verweigern -> freeze.

Aber gut, ich bin grad bei der Arbeit und werde wenn ich zuhause angekommen bin nochmal das so machen wie du sagst und dann den Log posten. Hoffe das hilft ^^
Seitenanfang Seitenende
08.03.2007, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 buffy

1.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«»
poste dieses log
http://virus-protect.org/artikel/tools/comboscan.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2008, 13:34
Member

Beiträge: 14
#7 Hallo Alle,

ich hab genau das gleiche Problem wie Dasmo. Hab auch diesen ConHook.Gen Trojaner (sogar gleich zwei mal, einmal im ordner system32 und einmal bei C:/Dokumente+Einstellungen/.../Temporary Internet Files/ Content) und bekomm ihn nicht weg.

Allerdings hab ich dazu auch noch keine Ahnung was Logs usw. sind. Kann mir bitte jemand helfen?

Danke schon mal!

und viele grüsse
Seitenanfang Seitenende
10.02.2008, 16:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Bitte poste einmal den Rest Reporte aus diesem Thread. http://board.protecus.de/t23187.htm
__________
MfG Argus
Seitenanfang Seitenende
12.02.2008, 14:15
Member

Beiträge: 14
#9 Ok, hab ich gemacht, los gehts:

1. Starte das Programm ATF cleaner, hake "Select All" an und druecke "Empty Selected".
--> Hab ich gemacht.

--------------------------------------------------

2. Combofix:

ComboFix 08-02-12.1 - MEIN NAME 2008-02-12 13:41:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.260 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MEIN NAME\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\qomkkjg.dll
C:\sys.txt
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\media
C:\WINDOWS\system32\media\AvidRender.wav
C:\WINDOWS\system32\qomkkjg.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE


((((((((((((((((((((((( Dateien erstellt von 2008-01-12 bis 2008-02-12 ))))))))))))))))))))))))))))))
.

2008-02-10 12:57 . 2008-02-10 12:57 328,736 --a------ C:\WINDOWS\system32\mlljj.VIR
2008-02-10 11:40 . 2008-02-10 11:40 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-02-10 08:47 . 2008-02-10 08:47 <DIR> d-------- C:\Programme\CleanUp!
2008-01-23 21:29 . 2008-01-23 21:29 <DIR> d-------- C:\Programme\NETGEAR
2008-01-23 21:29 . 2008-01-23 21:29 <DIR> d-------- C:\OEMSettings

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-12 12:24 ----- d----w C:\Programme\Mozilla Thunderbird
2008-02-11 22:01 1,810 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err

2008-02-11 17:54 --------- d-----w C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\OpenOffice.org2

2006-03-15 13:19 212,992 ----a-w C:\WINDOWS\inf\WG311v3\CopyWHQLDriver.exe

2006-01-26 16:55 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3.sys

2005-10-06 14:17 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3XP.sys

2003-06-03 15:49 448,256 ----a-w C:\WINDOWS\inf\EL2K_N64.sys
2003-06-03 15:48 147,328 ----a-w C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 15:47 147,328 ----a-w C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7e2ce7ba-0a55-40d3-9bfd-d2b8ab7dd225}]
C:\WINDOWS\system32\wktkhhaw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD22C0C1-06DB-4023-9A30-76CFCDA566C4}]
C:\WINDOWS\system32\mlljh.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [ ]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2004-10-08 12:06 196608]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 15:28 790528]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 08:42 585728]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-25 14:30 335872]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 00:23 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 15:45 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-13 18:01 282624]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 10:24 146944]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 09:50 155648]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-10-08 12:31 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-10-08 12:24 217088]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-15 22:17 185784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 09:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 09:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 09:21]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []
S3 TIACXLN;22M WLAN Adapter;C:\WINDOWS\system32\DRIVERS\tiacxln.sys [2002-12-20 16:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-12 13:48:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-12 13:53:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-12 12:53:21
.
2008-02-09 12:05:56 --- E O F ---

-------------------------------------------------------------------------


3a.
Erstellen eines Hijackthis-Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:06, on 12.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MEIn NAME\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://media.ebaumsworld.com/2006/09/real-ugly-face.jpg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: {522dd7ba-8b2d-dfb9-3d04-55a0ab7ec2e7} - {7e2ce7ba-0a55-40d3-9bfd-d2b8ab7dd225} - C:\WINDOWS\system32\wktkhhaw.dll (file missing)
O2 - BHO: (no name) - {FD22C0C1-06DB-4023-9A30-76CFCDA566C4} - C:\WINDOWS\system32\mlljh.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147531735201
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147536240437
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{653882B1-D569-460F-B277-03A84A669EDE}: NameServer = 192.168.212.100
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 8618 bytes

-------------------------------------

3b.
Erstellen einer Uninstall Liste

--> Liste im Anhang

---------------------------------------------

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)

Datenträger in Laufwerk C: ist System
Volumeseriennummer: D09B-2730

Verzeichnis von C:\WINDOWS\system32

12.02.2008 13:51 13.646 wpa.dbl
10.02.2008 12:57 328.736 mlljj.VIR
10.02.2008 11:40 24.576 VundoFixSVC.exe
08.02.2008 22:46 406.328 perfh009.dat
08.02.2008 22:46 63.528 perfc009.dat
08.02.2008 22:46 421.618 perfh007.dat
08.02.2008 22:46 76.906 perfc007.dat
08.02.2008 22:46 934.306 PerfStringBackup.INI
02.01.2008 19:21 17.642.616 MRT.exe
12.12.2007 02:35 387.268 TZLog.log
11.12.2007 00:11 74.304 gkonqguj.exe.bak
23.11.2007 19:36 490.056 FNTCACHE.DAT
13.11.2007 12:31 60.416 tzchange.exe
07.11.2007 10:27 729.600 lsasrv.dll

-------------------------------------------------

5.
Problembeschreibung / Symptome ?

Antivir zeigt mir regelmäßig an (ca. im abstand von 30min - 1H) das 2 Viren gefunden wurden. Immer zwei mal und beides mal heißt der Trojaner: TR/Dldr.ConHook.Gen

Der erste sitzt laut Antivir hier:
C:Windows/system32/jkkkjj.dll
und der zweite hier:
C/Dokumente und Einstellungen/ Mein Name/Lokale Einstellungen /Temporary Internet Files/ Content/E5/SJ300I2P/css4[1]

Im abgesicherten Modus find ich den nicht. Bzw den CSS4 find ich auch im normalen modus nicht mal den ordner.
Seit die drauf sind hab ich das Gefühl, dass das Internet insgesamt langsamer läuft und ich oft Seiten 3 mal aktualisieren muss bis die überhaupt aufgebaut werden.

Vielen vielen Dank schon mal für die Hilfe!!

Dieser Beitrag wurde am 12.02.2008 um 14:32 Uhr von Boing editiert.
Seitenanfang Seitenende
12.02.2008, 16:11
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 Hallo Boing

0.
CCl anwenden
http://www.ccleaner.de/?protecus.de

1.
lasse diesen Driver überprüfen - poste den Report hier
http://www.virustotal.com/de/

C:\WINDOWS\system32\drivers\fwdrv.err

C:\WINDOWS\system32\drivers\fwdrv.sys


----------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7e2ce7ba-0a55-40d3-9bfd-d2b8ab7dd225}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD22C0C1-06DB-4023-9A30-76CFCDA566C4}]

File::
C:\WINDOWS\system32\mlljj.VIR
C:\WINDOWS\system32\mlljh.dll
C:\WINDOWS\system32\wktkhhaw.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden - tippe 1

PC neustarten


»»
wende Combofix noch mal an - poste den Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
12.02.2008, 18:32
Member

Beiträge: 14
#11 0.
CCl anwenden
--> Hab ich gemacht
--------------------------------------

1.
lasse diesen Driver überprüfen - poste den Report hier
http://www.virustotal.com/de/

C:\WINDOWS\system32\drivers\fwdrv.err:

http://www.virustotal.com/de/analisis/e5b36c73c70ba1879f196e25d7c08cb9

und
C:\WINDOWS\system32\drivers\fwdrv.sys:

http://www.virustotal.com/de/analisis/6c9ba44db9c458c251a37fbd4c233896

-------------------------------------------------

und hier der neue Log:

ComboFix 08-02-12.1 - MEIN NAME 2008-02-12 19:22:35.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.265 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MEIN NAME\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\mlljj.VIR

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-12 bis 2008-02-12 ))))))))))))))))))))))))))))))
.

2008-02-12 19:08 . 2008-02-12 19:08 60,416 --a------ C:\WINDOWS\system32\drivers\ComboFix.sys
2008-02-12 18:38 . 2008-02-12 18:38 <DIR> d-------- C:\Programme\SolidDocuments
2008-02-12 18:38 . 2008-02-12 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\SolidDocuments
2008-02-12 18:37 . 2008-02-12 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SolidDocuments
2008-02-12 16:45 . 2008-02-12 16:45 <DIR> d-------- C:\Programme\CCleaner
2008-02-12 15:47 . 2004-08-04 09:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-02-12 15:47 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-02-10 11:40 . 2008-02-10 11:40 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-02-10 08:47 . 2008-02-10 08:47 <DIR> d-------- C:\Programme\CleanUp!
2008-01-23 21:29 . 2008-01-23 21:29 <DIR> d-------- C:\Programme\NETGEAR
2008-01-23 21:29 . 2008-01-23 21:29 <DIR> d-------- C:\OEMSettings

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-12 18:03 --------- d-----w C:\Dokumente und Einstellungen\MEIN NAME\Anwendungsdaten\OpenOffice.org2
2008-02-12 17:38 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-11 22:01 1,810 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2006-03-15 13:19 212,992 ----a-w C:\WINDOWS\inf\WG311v3\CopyWHQLDriver.exe
2006-01-26 16:55 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3.sys
2005-10-06 14:17 280,576 ----a-w C:\WINDOWS\inf\WG311v3\WG311v3XP.sys
2003-06-03 15:49 448,256 ----a-w C:\WINDOWS\inf\EL2K_N64.sys
2003-06-03 15:48 147,328 ----a-w C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 15:47 147,328 ----a-w C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [ ]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2004-10-08 12:06 196608]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 15:28 790528]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 08:42 585728]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-25 14:30 335872]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 00:23 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 15:45 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-13 18:01 282624]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 10:24 146944]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 09:50 155648]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2004-10-08 12:31 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2004-10-08 12:24 217088]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-15 22:17 185784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-18 08:24:21 67128]
NETGEAR WG311v3 Smart Wizard.lnk - C:\Programme\NETGEAR\WG311v3\wlancfg5.exe [2006-04-11 20:07:26 1503232]

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 09:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 09:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 09:21]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys []
S3 TIACXLN;22M WLAN Adapter;C:\WINDOWS\system32\DRIVERS\tiacxln.sys [2002-12-20 16:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-12 19:26:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-12 19:27:55
ComboFix-quarantined-files.txt 2008-02-12 18:27:48
ComboFix2.txt 2008-02-12 12:53:32
.
2008-02-09 12:05:56 --- E O F ---
Dieser Beitrag wurde am 12.02.2008 um 19:34 Uhr von Boing editiert.
Seitenanfang Seitenende
12.02.2008, 21:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: {522dd7ba-8b2d-dfb9-3d04-55a0ab7ec2e7} - {7e2ce7ba-0a55-40d3-9bfd-d2b8ab7dd225} - C:\WINDOWS\system32\wktkhhaw.dll (file missing)
O2 - BHO: (no name) - {FD22C0C1-06DB-4023-9A30-76CFCDA566C4} - C:\WINDOWS\system32\mlljh.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes

Java
Dein Java software ist veraltet,
Download jre-6u4-windows-i586-p-iftw.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u4-windows-i586-p-iftw.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u4-windows-i586-p-iftw.exe
__________
MfG Argus
Seitenanfang Seitenende
12.02.2008, 21:36
Member

Beiträge: 14
#13 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

---> Hab ich gemacht.

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei
--> Hab ich gemacht (hab mir dein text in den Editor gepastet, damit ich die Einträge vergleichen kann, alle Browserfenster waren zu)

Hab dann aber keinen der Einträge finden können:

O2 - BHO: {522dd7ba-8b2d-dfb9-3d04-55a0ab7ec2e7} - {7e2ce7ba-0a55-40d3-9bfd-d2b8ab7dd225} - C:\WINDOWS\system32\wktkhhaw.dll (file missing)
O2 - BHO: (no name) - {FD22C0C1-06DB-4023-9A30-76CFCDA566C4} - C:\WINDOWS\system32\mlljh.dll (file missing)

im anhang ein screenshot wie das ganze dann aussah. Da gabs nur drei Zeilen die mit "O2" angefangen haben (hab da Häckchen reingemacht, damit mans gleich sieht) aber die oben genannetn konnte ich nicht finden.

EDIT:

Java hab ich alle alten versionen gelöscht und die neuste Version instaliert.

und

OTMoveIt.exe hab ich mir runtergeladen. Wenn ich auf "CleanUp!" klicke bekomm ich ein kleines PopUp mit der Fehlermeldung:

"Unable to contact the internet. Cleanup list download failed"

netz hab ich aber.
LG

Dieser Beitrag wurde am 12.02.2008 um 22:29 Uhr von Boing editiert.
Seitenanfang Seitenende
12.02.2008, 22:24
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Die haeckchen musst du wieder raus nehmen !! es geht dabei nicht nur um O2
aber auch was da hinter stet
__________
MfG Argus
Seitenanfang Seitenende
12.02.2008, 22:32
Member

Beiträge: 14
#15 Die Häckchen hab ich ja nur für den Screenshot gemacht. hab nichts danach aktiviert.
Nach "02" hab ich mich halt gerichtet um die Zeilen zu finden. ist ja numerisch sortiert die Liste.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »