Trojaner/ Virus nach download TVants und pplive

#1 Hallo,

seitdem ich mir am Dienstag tvants und pplive downgeloaded habe, habe ich das Problem, dass sich ständig IE - Fenster mit Chinesischen/ Asiatischen Websites öffnen. Habe sämtliche gängigen Suchprogramme: Spybot, adaware, escan, ants, etc. laufen lassen, die aber nicht den gewünschten Erfolg bringen. Bitte um Hilfe. Hier der Logfile von Hjt:

Logfile of HijackThis v1.99.1
Scan saved at 23:52:16, on 23.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\AdsNT.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Power Manager\PM.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\Svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\CC02B806.exe
C:\WINDOWS\system32\ffudf.exe
C:\WINDOWS\system32\mssys32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\CC02B806.exe
C:\WINDOWS\system32\ffudf.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\HS\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A4B313AC-16DC-52D1-A4D7-1D4F7B1A9C4E} - C:\WINDOWS\system32\mshtmll.dll
O2 - BHO: (no name) - {b405f747-5698-4a22-8b0d-4e03f37a8dbf} - C:\WINDOWS\system32\4a22cfsb.dll
O2 - BHO: EyeOnIE - {C14393E1-95FF-4DFF-9BE0-EA008D4EF930} - C:\WINDOWS\system32\atsldr.dll
O2 - BHO: Fav Manager - {CD8BFE70-5809-4C73-9EEE-E5672C2B79D7} - C:\Programme\Deepdo\DeepdoBar\Favorite\FavBlock.dll
O2 - BHO: 6565 - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4943ntos.dll
O2 - BHO: cnwin Class - {EC497BD8-460F-44F0-B2A4-8C2B2198035B} - C:\WINDOWS\system32\cnwin.dll (file missing)
O3 - Toolbar: 6565 - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4943ntos.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ProgramPath] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mssys32] C:\WINDOWS\system32\mssys32.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cryptimg - C:\WINDOWS\SYSTEM32\cryptimg.dll
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - (no file)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

#2 Cauley

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo, erstmal vielen Dank! Hier was Datfindbat angezeigt hat:

26.02.2007 21:39 132 toolset.ini
26.02.2007 21:21 153.214 dufs1.exe
26.02.2007 21:21 42.548 jsefusf.exe
26.02.2007 21:21 41.902 jsds3utj.dat
26.02.2007 21:21 2.065 kwbuf.ini
26.02.2007 21:20 92 usrinit.ini
26.02.2007 21:18 1.540 winttrs
26.02.2007 21:18 25.616 ffudf.exe
26.02.2007 21:18 28.176 CC02B806.exe
26.02.2007 20:23 1 index.dat
26.02.2007 17:50 41.902 431172508627.dat
26.02.2007 17:47 1 blbc.uni
26.02.2007 17:47 36.864 jsefusf.dll
26.02.2007 17:47 41.984 CF828142.DLL
26.02.2007 17:47 21.504 BC8F2CAC.DLL
26.02.2007 17:18 41.902 431172506705.dat
26.02.2007 14:18 22.413 dufs2.exe
26.02.2007 12:56 358 ,
26.02.2007 12:44 42.086 431172490266.dat
26.02.2007 09:04 141.312 UniBar.exe
26.02.2007 09:04 271.360 4091ntos.dll
26.02.2007 09:04 28.672 4f5ccfsb.dll
26.02.2007 09:04 42.086 431172477052.dat
25.02.2007 20:49 42.036 431172432943.dat
25.02.2007 20:48 1.158 wpa.dbl
24.02.2007 17:07 42.030 431172333269.dat
24.02.2007 17:06 42.030 431172333190.dat
24.02.2007 17:06 42.030 431172333188.dat
24.02.2007 17:00 42.030 431172332782.dat
24.02.2007 16:30 42.030 431172331049.dat
24.02.2007 13:54 34.871 BC8F2CAC.EXE
24.02.2007 13:54 34.871 BC8F2CACT.EXE
24.02.2007 13:53 42.030 431172321626.dat
24.02.2007 12:25 42.030 431172316321.dat
24.02.2007 03:16 42.030 431172283413.dat
24.02.2007 03:13 42.030 431172283207.dat
23.02.2007 23:05 42.030 431172268298.dat
23.02.2007 23:01 42.030 431172268105.dat
23.02.2007 22:59 42.030 431172267970.dat
23.02.2007 22:27 42.030 431172266022.dat
23.02.2007 22:13 42.030 431172265197.dat
23.02.2007 07:04 183.296 mshtmll.dll
23.02.2007 07:03 42.030 431172210632.dat
23.02.2007 00:27 42.030 431172186864.dat
22.02.2007 23:47 42.030 431172184423.dat
22.02.2007 23:47 42.030 431172184422.dat
22.02.2007 23:28 42.030 431172183282.dat
22.02.2007 23:21 42.030 431172182857.dat
22.02.2007 23:21 42.030 431172182858.dat
22.02.2007 22:34 42.030 431172180076.dat
22.02.2007 22:28 100 LuResult.txt
22.02.2007 22:24 42.030 431172179488.dat
22.02.2007 22:15 42.030 431172178932.dat
22.02.2007 20:33 42.030 431172172797.dat
22.02.2007 20:33 42.030 431172172793.dat
22.02.2007 20:24 42.030 431172172267.dat
22.02.2007 19:38 42.030 431172169490.dat
22.02.2007 19:37 42.030 431172169441.dat
22.02.2007 13:45 42.030 431172148299.dat
22.02.2007 13:26 42.030 431172147168.dat
22.02.2007 13:12 42.030 431172146318.dat
22.02.2007 12:40 42.030 431172144430.dat
22.02.2007 07:06 42.286 431172124321.dat
21.02.2007 23:43 382.026 perfh009.dat
21.02.2007 23:43 53.770 perfc009.dat
21.02.2007 23:43 393.086 perfh007.dat
21.02.2007 23:43 64.848 perfc007.dat
21.02.2007 23:43 901.840 PerfStringBackup.INI
21.02.2007 23:39 42.286 431172097586.dat
21.02.2007 23:32 42.286 431172097136.dat
21.02.2007 23:21 161 history.txt
21.02.2007 23:13 42.286 431172096009.dat
21.02.2007 23:13 42.286 431172096014.dat
21.02.2007 22:46 42.286 431172094372.dat
21.02.2007 22:13 42.286 431172092394.dat
21.02.2007 22:07 42.286 431172091944.dat
21.02.2007 21:55 42.286 431172091273.dat
21.02.2007 21:48 42.286 431172090929.dat
21.02.2007 21:39 42.286 431172090347.dat
21.02.2007 21:35 42.286 431172090092.dat
21.02.2007 21:29 42.286 431172089724.dat
21.02.2007 21:18 42.286 431172089093.dat
21.02.2007 21:18 42.286 431172089091.dat
21.02.2007 20:53 70 pngfllt.txt
21.02.2007 20:27 197.112 bankdata.txt
21.02.2007 20:23 42.286 431172085770.dat
21.02.2007 07:10 9.728 usrinit.exe
21.02.2007 07:06 42.286 431172037965.dat
21.02.2007 01:46 446.976 mssys32.exe
21.02.2007 00:40 42.142 431172014843.dat
21.02.2007 00:40 42.142 431172014837.dat
21.02.2007 00:37 42.142 431172014611.dat
21.02.2007 00:31 42.142 431172014258.dat
21.02.2007 00:31 42.142 431172014262.dat
21.02.2007 00:24 42.142 431172013855.dat
21.02.2007 00:24 1.464 000042df.DAT
21.02.2007 00:12 42.142 431172013149.dat
20.02.2007 23:37 42.142 431172011052.dat
20.02.2007 23:34 42.142 431172010842.dat
20.02.2007 23:29 42.142 431172010584.dat
20.02.2007 23:28 42.142 431172010521.dat
20.02.2007 22:43 279.552 4943ntos.dll
20.02.2007 22:43 24.576 4a22cfsb.dll
20.02.2007 22:38 42.142 431172007474.dat
20.02.2007 22:37 1.464 alpst.dat
20.02.2007 21:54 42.142 431172004812.dat
20.02.2007 20:05 1.364 mywebhit.ini.tmp
20.02.2007 20:05 118 mywebhit.ini
20.02.2007 19:52 211 sbvw.ll
20.02.2007 19:52 130.560 cryptimg.dll
20.02.2007 19:52 36.864 svchosts.exe
20.02.2007 19:52 2.560 unsvchosts.exe
20.02.2007 19:52 28.176 CC02B806.exe~
20.02.2007 19:52 122.877 tubar1250.exe
20.02.2007 19:52 20.480 bind_50099.exe~
20.02.2007 19:52 119.720 t21.exe
20.02.2007 19:52 50.227 CF828142.EXE
20.02.2007 19:52 50.227 CF828142T.EXE
20.02.2007 19:52 159.744 dodolook133.exe
20.02.2007 19:52 153.214 ad_1128.exe
20.02.2007 19:52 89.808 bawang.exe
20.02.2007 19:52 171 BC8F2CAC.dat
20.02.2007 19:52 18.432 winsys16_070212.dll
20.02.2007 19:52 18.432 scrsys16_070212.scr
20.02.2007 19:52 164.352 winsys32_070212.dll
20.02.2007 19:52 89.744 AlxRes070212.exe
20.02.2007 19:52 89.744 scrsys070212.scr
07.02.2007 10:54 40.960 atsldr.dll
08.01.2007 22:13 222.432 FNTCACHE.DAT
17.11.2006 18:54 1.040.384 ieframe.dll.mui



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\DOKUME~1\HENDRI~1\LOKALE~1\Temp

26.02.2007 21:25 32.768 ~DF1C23.tmp
26.02.2007 21:25 32.768 ~DF90CB.tmp
26.02.2007 21:21 32.768 ~DFB2D5.tmp
26.02.2007 21:21 32.768 ~DFB081.tmp
26.02.2007 21:18 32.768 ~DFE66C.tmp
26.02.2007 21:18 32.768 ~DFE657.tmp
6 Datei(en) 196.608 Bytes
0 Verzeichnis(se), 25.473.314.816 Bytes frei



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\WINDOWS

26.02.2007 21:18 2.437 win.ini
26.02.2007 21:18 2.808 general.log
26.02.2007 21:18 375.314 WindowsUpdate.log
26.02.2007 17:48 0 0.log
26.02.2007 17:47 159 wiadebug.log
26.02.2007 17:47 3.828 ModemLog_Agere Systems AC'97 Modem.txt
26.02.2007 17:47 50 wiaservc.log
26.02.2007 17:47 2.048 bootstat.dat
26.02.2007 17:34 32.592 SchedLgU.Txt
26.02.2007 15:18 890.942 setupapi.log
23.02.2007 23:08 1.225 XPlite.log
23.02.2007 00:30 9.017 AutoUp.exe
22.02.2007 23:47 6.166 spupdsvc.log
22.02.2007 23:45 15.135 ie7_main.log
22.02.2007 23:44 9.647 iis6.log
22.02.2007 23:44 36.139 comsetup.log
22.02.2007 23:44 22.954 ntdtcsetup.log
22.02.2007 23:44 4.908 ocmsn.log
22.02.2007 23:44 40.559 tsoc.log
22.02.2007 23:44 1.374 imsins.log
22.02.2007 23:44 60.130 ie7.log
22.02.2007 23:44 4.738 msgsocm.log
22.02.2007 23:44 69.662 ocgen.log
22.02.2007 23:44 92.184 FaxSetup.log
22.02.2007 23:44 27.935 updspapi.log
22.02.2007 23:42 1.374 imsins.BAK
22.02.2007 23:42 5.590 IDNMitigationAPIs.log
22.02.2007 23:41 5.282 NLSDownlevelMapping.log
22.02.2007 23:32 506 LUINSTALL.LOG
22.02.2007 22:04 4.577.535 REGBK00.ZIP
22.02.2007 21:00 8.585 ESCAN.LOG
22.02.2007 20:59 217 INST_TSP.LOG
22.02.2007 20:59 117.844 winsbak2.reg
22.02.2007 20:59 16.786 winsbak.reg
22.02.2007 20:58 241 system.ini
21.02.2007 21:08 11.859 AdsNT.exe
21.02.2007 20:26 65.536 f2.exe
21.02.2007 01:04 34.763 wmsetup.log
20.02.2007 23:54 308.019 intranet.exe
20.02.2007 23:53 192.556 winlogin.exe
20.02.2007 23:53 192.339 taskmor.exe
20.02.2007 20:39 407 mywinsys.ini
20.02.2007 20:04 1.148 hitpop_tmp.txt
20.02.2007 19:56 23 temp.exe
14.02.2007 01:37 272 P2kRotate.ini
11.02.2007 12:35 69 NeroDigital.ini
09.02.2007 19:46 561 wmsetup10.log
06.02.2007 11:10 4.592 ModemLog_Sony Ericsson 750 USB WMC Modem.txt
06.02.2007 11:10 5.004 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt
26.01.2007 16:01 391 cdPlayer.ini
26.01.2007 15:58 316.640 WMSysPr9.prx
26.01.2007 11:16 212.634 setupact.log
24.01.2007 21:08 3.010 tm.ini
24.01.2007 21:07 41 tdf.dii
09.01.2007 19:16 0 svcd.dat
08.01.2007 19:20 11.169 Studio7.ini
02.10.2006 10:41 942 BrmfBidi.ini



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\WINDOWS\Temp



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\WINDOWS\Downloaded Program Files



Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\

26.02.2007 21:44 0 sys.txt
26.02.2007 21:44 130 down.txt
26.02.2007 21:44 110 tmp.txt
26.02.2007 21:43 8.737 system.txt
26.02.2007 21:43 533 systemtemp.txt
26.02.2007 21:41 106.554 system32.txt
26.02.2007 21:33 525 VundoFix.txt
26.02.2007 17:47 468.242.432 hiberfil.sys
26.02.2007 17:47 704.643.072 pagefile.sys
22.02.2007 22:04 3 AVPCallback.log
22.02.2007 20:59 203 boot.ini
20.02.2007 23:29 110.592 ~de1.tmp
20.02.2007 22:49 40.960 ~de5FE.tmp
20.02.2007 22:49 61.440 ~de5FC.tmp
20.02.2007 19:53 2 -259230554
20.02.2007 19:53 2.093 mmmiax.exe
20.02.2007 19:53 101.592 bgqy.exe
19.02.2007 00:46 475.136 ~deAA.tmp
19.02.2007 00:46 475.136 ~de5.tmp
12.02.2007 19:27 98.304 ~de2.tmp
12.02.2007 19:27 98.304 ~deA7.tmp
27.12.2006 07:05 430.080 ~de95.tmp
27.12.2006 07:05 430.080 ~de65E.tmp
06.11.2006 15:13 253.952 ~deA6.tmp
06.11.2006 15:13 253.952 ~de9B.tmp
06.11.2006 15:13 253.952 ~de662.tmp


Vielen Dank schon mal!!!!

#4 da gehe ich nicht ran - das ist mir einfach zuviel (siehe oben - rot gekennzeichnet) - formatiere, es hat keinen Sinn, das reinigen zu wollen - sorry
pass in Zukunft besser auf, auf welchen Seiten du surfst und was du anklickst.......
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Werd ich wohl tun müssen. Ist zum Glück nicht viel wichtiges auf dem Laptop.
Trotzdem vielen Dank für die. Werde in Zukunft noch besser aufpassen. Hatte aber im Netz nichts negatives über TVants und pplive gelesen, deshalb kann ich mir das auch nicht wirklich erklären.

Aber wie gesagt: Vielen Dank!!!

Gruß Cauley