Browser öffnet dämliche Werbeseiten

#1 Ich denke der Titel sagt alles mehr gibts dazu auch nicht zu sagen^^

Hier sind die Logs. Bei Hijackthis schließt das prog einfach wenn ich auf save log klicke da kommt gar kein save also hab ich hijackthis einfach weggelassen. hier der rest :

C:\qoobox\purity\WINDOWS\FNTS~1


((((((((((((((((((((((((((((((( Files Created from 2007-03-09 to 2007-04-09 ))))))))))))))))))))))))))))))))))


2007-04-09 19:35 76,412 --a------ C:\WINDOWS\system32\cnmxmdgs.dll
2007-04-09 19:35 48,708 --a------ C:\WINDOWS\system32\ofhaufma.dll
2007-04-09 19:35 478,518 ---hs---- C:\WINDOWS\system32\xyadd.bak1
2007-04-09 19:35 280,676 ---hs---- C:\WINDOWS\system32\ddayx.dll
2007-04-09 19:35 123,972 --a------ C:\WINDOWS\system32\dagwprmb.dll
2007-04-09 19:26 26,694 --a------ C:\WINDOWS\system32\nnnklih.dll
2007-04-02 13:36 <DIR> d-------- C:\MOTGAME
2007-03-31 09:04 <DIR> d-------- C:\Programme\DAEMON Tools
2007-03-31 09:02 646,392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-03-25 10:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\Anwendungsdaten\Google
2007-03-24 22:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\Anwendungsdaten\dslic
2007-03-24 21:12 <DIR> d-------- C:\Programme\thriXXX
2007-03-16 17:39 <DIR> d-------- C:\Programme\Penumbra
2007-03-15 18:03 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-03-15 18:03 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-03-15 18:03 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-03-15 18:03 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-03-13 20:06 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2007-03-13 20:00 <DIR> d-------- C:\Programme\Trust
2007-03-11 00:10 <DIR> d-------- C:\Programme\IMVU
2007-03-10 15:30 637,620 --a------ C:\WINDOWS\uninst_3155.exe
2007-03-10 15:30 1,753 --a------ C:\WINDOWS\uninst_3155.dat
2007-03-10 15:30 <DIR> d-------- C:\Programme\bishoot.zip
2007-03-10 15:23 637,620 --a------ C:\WINDOWS\uninst_4004.exe
2007-03-10 15:23 1,801 --a------ C:\WINDOWS\uninst_4004.dat
2007-03-10 15:23 <DIR> d-------- C:\Programme\kkrieger-beta.zip
2007-03-10 14:09 9,728 --a------ C:\WINDOWS\system32\msmouse.dll
2007-03-10 14:09 637,620 --a------ C:\WINDOWS\uninst_7000.exe
2007-03-10 14:09 188,416 --a------ C:\WINDOWS\system32\mscheck.exe
2007-03-10 14:09 1,885 --a------ C:\WINDOWS\uninst_7000.dat
2007-03-10 14:09 <DIR> d-------- C:\Programme\zeldaclassic.zip
2007-03-09 17:36 7,552 --a------ C:\WINDOWS\system32\drivers\enodpl.sys
2007-03-09 17:36 4,736 --a------ C:\WINDOWS\system32\drivers\tandpl.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-08 16:46 -------- d--h----- C:\Programme\installshield installation information
2007-04-08 16:45 -------- d-------- C:\Programme\empire interactive
2007-04-07 21:11 -------- d-------- C:\DOKUME~1\Manfred.TIM\ANWEND~1\teamspeak2
2007-04-07 19:44 -------- d-------- C:\Programme\ubisoft
2007-04-06 16:18 -------- d-------- C:\Programme\warrock
2007-04-05 09:27 -------- d-------- C:\Programme\eidos
2007-04-04 11:17 -------- d-------- C:\Programme\trackmania nations eswc
2007-04-01 15:31 -------- d-------- C:\Programme\electronic arts
2007-03-26 17:58 -------- d-------- C:\Programme\crazy frog saver 2
2007-03-25 15:31 -------- d-------- C:\Programme\google
2007-03-25 09:50 74996 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 09:50 415470 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-16 18:00 -------- d-------- C:\Programme\thq
2007-03-10 23:56 -------- d-------- C:\Programme\microsoft games
2007-03-10 23:54 -------- d-------- C:\Programme\buka
2007-03-10 00:24 155411 --a------ C:\WINDOWS\system32\drivers\dump_wmimmc.sys
2007-03-09 22:04 -------- d-------- C:\Programme\knightonline
2007-03-08 20:22 -------- d-------- C:\Programme\giant
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-07 21:42 -------- d-------- C:\Programme\icqlite
2007-03-05 18:55 -------- d-------- C:\Programme\codemasters
2007-03-04 00:51 475136 --a------ C:\WINDOWS\system32\pamela anderson nude.scr
2007-03-04 00:51 45056 --a------ C:\WINDOWS\system32\sstunst2.exe
2007-03-03 00:53 -------- d-------- C:\Programme\netbattle
2007-03-02 18:14 -------- d-------- C:\Programme\force majeure
2007-02-28 21:07 -------- d-------- C:\Programme\gulli load
2007-02-25 18:35 -------- d-------- C:\Programme\softnyx
2007-01-23 17:28 128794 --a------ C:\WINDOWS\war3unin.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Start WingMan Profiler"=""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMax"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{9D7EF71F-92F4-4E1E-93DE-E21436E4C815}"=""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source REG_SZ file:///F:/N%FCtzliches/Wallpapers/BILDER/MidnightClub3/MC3_1024_fob.jpg

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source REG_SZ file:///F:/N%FCtzliches/Wallpapers/THUMBS/tn_MC3_1024_fob.jpg

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
Source REG_SZ file:///D:/Wettbewerb/Wallpapers/THUMBS/tn_Valdis_1024x768.jpg

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddayx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnklih

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{151faa4f-5e21-11d9-a6d1-806d6172696f}]
Shell\AutoRun\command D:\0data\cbs.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a06ef2-5e3d-11d9-8f38-806d6172696f}]
Shell\AutoRun\command F:\Setup.exe


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-09 20:41:28
C:\ComboFix-quarantined-files.txt ... 07-04-09 20:41
C:\ComboFix2.txt ... 06-11-01 17:53





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5068-C3F0

Verzeichnis von c:\

09.04.2007 20:44 0 dirdat.txt
09.04.2007 20:41 8.635 ComboFix.txt
09.04.2007 20:41 894 ComboFix-quarantined-files.txt
09.04.2007 19:29 402.653.184 pagefile.sys
01.04.2007 16:11 18.626 GF_Excpt.txt
25.02.2007 19:54 26 super.txt
23.01.2007 18:59 26 usm.txt
14.12.2006 16:38 244 sqmnoopt01.sqm
14.12.2006 16:38 268 sqmdata01.sqm
13.12.2006 21:06 268 sqmdata00.sqm
13.12.2006 21:06 244 sqmnoopt00.sqm
01.11.2006 23:21 107.008 system32.txt
01.11.2006 20:00 9.524 avenger.txt
01.11.2006 19:49 1.334 VundoFix.txt
01.11.2006 18:00 7.088 sys.txt
01.11.2006 18:00 624 down.txt
01.11.2006 18:00 278 tmp.txt
01.11.2006 17:59 14.488 system.txt
01.11.2006 17:58 445 systemtemp.txt
01.11.2006 17:53 12.875 ComboFix2.txt
28.07.2006 22:46 125 DelUS.bat
13.05.2006 10:58 42.792 Uninstal.exe



Verzeichnis von C:\WINDOWS\system32

09.04.2007 20:44 492.093 xyadd.ini
09.04.2007 19:50 1.632.950 bmrpwgad.ini
09.04.2007 19:35 48.708 ofhaufma.dll
09.04.2007 19:35 123.972 dagwprmb.dll
09.04.2007 19:35 13.646 wpa.dbl
09.04.2007 19:35 76.412 cnmxmdgs.dll
09.04.2007 19:35 478.518 xyadd.bak1
09.04.2007 19:35 280.676 ddayx.dll
09.04.2007 19:30 28.225 nvapps.xml
09.04.2007 19:26 26.694 nnnklih.dll
04.04.2007 09:57 136.464 FNTCACHE.DAT
25.03.2007 09:50 401.064 perfh009.dat
25.03.2007 09:50 415.470 perfh007.dat
25.03.2007 09:50 62.344 perfc009.dat
25.03.2007 09:50 74.996 perfc007.dat
25.03.2007 09:50 966.250 PerfStringBackup.INI
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
04.03.2007 00:51 45.056 sstunst2.exe
04.03.2007 00:51 875.985 Pamela Anderson Nude.msf
04.03.2007 00:51 475.136 Pamela Anderson Nude.scr
25.02.2007 22:08 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 1.149.952 urlmon.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe
24.12.2006 13:06 3.057 qtplugin.log
23.12.2006 10:26 98.304 CmdLineExt.dll
21.12.2006 23:13 23.392 nscompat.tlb
21.12.2006 23:13 16.832 amcompat.tlb
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 23:49 8.494.592 shell32.dll




Verzeichnis von C:\WINDOWS

09.04.2007 20:26 1.366.246 WindowsUpdate.log
09.04.2007 19:29 0 0.log
09.04.2007 19:29 32.544 SchedLgU.Txt
09.04.2007 19:29 2.048 bootstat.dat
08.04.2007 16:49 946 gfscore.ini
06.04.2007 22:17 139 msicpl.ini
06.04.2007 16:27 291.755 Directx.log
04.04.2007 09:54 20.767 WgaNotify.log
04.04.2007 09:54 47.193 setupapi.log
04.04.2007 09:53 838.595 iis6.log
04.04.2007 09:53 250.916 comsetup.log
04.04.2007 09:53 36.967 tabletoc.log
04.04.2007 09:53 152.976 ntdtcsetup.log
04.04.2007 09:53 39.912 ocmsn.log
04.04.2007 09:53 1.355 imsins.log
04.04.2007 09:53 12.295 KB925902.log
04.04.2007 09:53 334.331 tsoc.log
04.04.2007 09:53 126.247 netfxocm.log
04.04.2007 09:53 50.894 medctroc.Log
04.04.2007 09:53 356.435 ocgen.log
04.04.2007 09:53 36.411 msgsocm.log
04.04.2007 09:53 715.024 FaxSetup.log
04.04.2007 09:53 231.892 msmqinst.log
04.04.2007 09:53 58.039 updspapi.log
03.04.2007 23:42 8 f33.ini
31.03.2007 10:39 83 wwp.INI
26.03.2007 20:22 168.025 wmsetup.log
13.03.2007 22:29 1.374 imsins.BAK
13.03.2007 22:29 9.496 KB929399.log
13.03.2007 22:28 13.463 KB929338.log
13.03.2007 20:08 153.246 setupact.log
10.03.2007 15:30 1.753 uninst_3155.dat
10.03.2007 15:30 637.620 uninst_3155.exe
10.03.2007 15:23 1.801 uninst_4004.dat
10.03.2007 15:22 637.620 uninst_4004.exe
10.03.2007 14:09 1.885 uninst_7000.dat
10.03.2007 14:09 637.620 uninst_7000.exe
05.03.2007 16:53 1.025.409 setupapi.log.0.old
25.02.2007 22:09 17.431 KB927779.log
25.02.2007 22:09 14.120 KB927802.log
25.02.2007 22:09 14.560 KB928255.log
25.02.2007 22:09 11.071 KB924667.log
25.02.2007 22:09 23.511 KB931836.log
25.02.2007 22:08 13.012 KB926436.log
25.02.2007 22:08 9.385 KB928090-IE7.log
25.02.2007 22:08 10.672 KB918118.log
25.02.2007 22:07 10.565 KB928843.log
23.01.2007 17:28 128.794 War3Unin.dat
12.01.2007 20:28 779 win.ini
12.01.2007 20:27 3.574 KB929969.log
26.12.2006 15:41 134 pink
21.12.2006 23:13 84.955 spupdsvc.log
21.12.2006 23:11 3.388 wmsetup10.log
21.12.2006 23:04 7.808 KB926239.log
21.12.2006 23:03 5.263 MSCompPackV1.log
21.12.2006 23:03 18.625 wmp11.log
21.12.2006 23:02 26.026 WMFDist11.log
21.12.2006 23:02 316.640 WMSysPr9.prx
21.12.2006 23:02 10.708 Wudf01000Inst.log
17.12.2006 17:15 21.504 jestertb.dll
14.12.2006 17:26 26.301 ie7_main.log
14.12.2006 17:26 53.121 ie7.log
14.12.2006 17:25 13.515 IDNMitigationAPIs.log
14.12.2006 17:25 11.976 NLSDownlevelMapping.log
14.12.2006 17:25 10.047 KB915865.log
14.12.2006 17:24 5.655 KB914440.log
14.12.2006 17:24 28.640 KB925454.log
14.12.2006 17:24 10.729 KB904942.log
13.12.2006 22:21 9.661 KB925398.l




Verzeichnis von C:\DOKUME~1\Manfred.TIM\LOKALE~1\Temp

09.04.2007 20:43 1.384 wmplog00.sqm
09.04.2007 20:34 512 ~DF6C5B.tmp
09.04.2007 20:34 16.384 ~DF6C20.tmp
09.04.2007 20:34 512 ~DF6C12.tmp
09.04.2007 20:34 16.384 ~DF6C05.tmp
09.04.2007 20:34 512 ~DF6BF7.tmp
09.04.2007 20:34 16.384 ~DF6B7E.tmp
09.04.2007 20:34 16.384 ~DF6B52.tmp
09.04.2007 20:34 512 ~DF6B70.tmp
09.04.2007 20:32 32.768 ~DFBE6B.tmp
09.04.2007 20:31 512 ~DFB862.tmp
09.04.2007 20:31 16.384 ~DFB855.tmp
08.04.2007 16:41 36.864 CmdLineExt02.dll
13 Datei(en) 155.496 Bytes
0 Verzeichnis(se), 7.904.301.056 Bytes frei

#2 Nutze bitte vundofix: http://virus-protect.org/artikel/tools/vundofixx.html

Danach bitte Hijackthis herunterladen, in test.com umbenennen, log erstellen und posten...
__________
MfG Ralf
SEO-Spam Hunter

#3 das ist das hijack log

werbeseiten kommen immer noch

Logfile of HijackThis v1.99.1
Scan saved at 22:26:50, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Manfred.TIM\Desktop\asus\hijackthis\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\system32\ovycoxqg.dll
O2 - BHO: (no name) - {9248BA26-5CCE-4068-A5FB-91AA12B5B033} - C:\WINDOWS\system32\ddayx.dll (file missing)
O2 - BHO: (no name) - {9D7EF71F-92F4-4E1E-93DE-E21436E4C815} - C:\WINDOWS\system32\nnnklih.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O2 - BHO: (no name) - {EFAA31C7-155B-4CCD-952A-4933DDB046EA} - C:\WINDOWS\system32\ddabc.dll
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\sjcwhkwh.dll",setvm
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O20 - Winlogon Notify: ddabc - C:\WINDOWS\system32\ddabc.dll
O20 - Winlogon Notify: nnnklih - C:\WINDOWS\SYSTEM32\nnnklih.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

#4 öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\system32\ovycoxqg.dll

O2 - BHO: (no name) - {9248BA26-5CCE-4068-A5FB-91AA12B5B033} - C:\WINDOWS\system32\ddayx.dll (file missing)

O2 - BHO: (no name) - {9D7EF71F-92F4-4E1E-93DE-E21436E4C815} - C:\WINDOWS\system32\nnnklih.dll

O2 - BHO: (no name) - {EFAA31C7-155B-4CCD-952A-4933DDB046EA} - C:\WINDOWS\system32\ddabc.dll

O20 - Winlogon Notify: ddabc - C:\WINDOWS\system32\ddabc.dll
O20 - Winlogon Notify: nnnklih - C:\WINDOWS\SYSTEM32\nnnklih.dll

---------------------------
Nutze bitte Avenger http://virus-protect.org/artikel/tools/avenger.html mit folgendem Script:

Code

Registry values to delete: 
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{9D7EF71F-92F4-4E1E-93DE-E21436E4C815}

registry keys to delete: 
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddayx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnklih

Files to delete:
C:\WINDOWS\system32\ovycoxqg.dll
C:\WINDOWS\system32\nnnklih.dll
C:\WINDOWS\system32\ddabc.dll
C:\WINDOWS\system32\xyadd.ini
C:\WINDOWS\system32\bmrpwgad.ini
C:\WINDOWS\system32\ofhaufma.dll
C:\WINDOWS\system32\dagwprmb.dll
C:\WINDOWS\system32\cnmxmdgs.dll
C:\WINDOWS\system32\xyadd.bak1
C:\WINDOWS\system32\ddayx.dll
C:\WINDOWS\system32\nnnklih.dll

Dann bitte neu starten, ein Hijackthis log(als test.com umbenannt), das Avenger Log und ein Datfindbat report posten
__________
MfG Ralf
SEO-Spam Hunter

#5 Hier das Avenger , dann das hijackthis und dann das datfindbat log.

Seiten erscheinen immmer noch



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tjxyfwvy

*******************

Script file located at: \??\C:\Program Files\mhqvhcyk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ovycoxqg.dll deleted successfully.
File C:\WINDOWS\system32\nnnklih.dll deleted successfully.
File C:\WINDOWS\system32\ddabc.dll deleted successfully.
File C:\WINDOWS\system32\xyadd.ini deleted successfully.


File C:\WINDOWS\system32\bmrpwgad.ini not found!
Deletion of file C:\WINDOWS\system32\bmrpwgad.ini failed!

Could not process line:
C:\WINDOWS\system32\bmrpwgad.ini
Status: 0xc0000034



File C:\WINDOWS\system32\ofhaufma.dll not found!
Deletion of file C:\WINDOWS\system32\ofhaufma.dll failed!

Could not process line:
C:\WINDOWS\system32\ofhaufma.dll
Status: 0xc0000034



File C:\WINDOWS\system32\dagwprmb.dll not found!
Deletion of file C:\WINDOWS\system32\dagwprmb.dll failed!

Could not process line:
C:\WINDOWS\system32\dagwprmb.dll
Status: 0xc0000034



File C:\WINDOWS\system32\cnmxmdgs.dll not found!
Deletion of file C:\WINDOWS\system32\cnmxmdgs.dll failed!

Could not process line:
C:\WINDOWS\system32\cnmxmdgs.dll
Status: 0xc0000034

File C:\WINDOWS\system32\xyadd.bak1 deleted successfully.


File C:\WINDOWS\system32\ddayx.dll not found!
Deletion of file C:\WINDOWS\system32\ddayx.dll failed!

Could not process line:
C:\WINDOWS\system32\ddayx.dll
Status: 0xc0000034



File C:\WINDOWS\system32\nnnklih.dll not found!
Deletion of file C:\WINDOWS\system32\nnnklih.dll failed!

Could not process line:
C:\WINDOWS\system32\nnnklih.dll
Status: 0xc0000034

Registry value HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{9D7EF71F-92F4-4E1E-93DE-E21436E4C815} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddayx not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddayx failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnklih deleted successfully.

Completed script processing.

*******************

Finished! Terminate.





Logfile of HijackThis v1.99.1
Scan saved at 14:00:11, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Manfred.TIM\Desktop\asus\hijackthis\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {0C8640C8-83E1-459D-A8FC-BCBC6095DC74} - C:\WINDOWS\system32\ddabc.dll (file missing)
O2 - BHO: (no name) - {9D7EF71F-92F4-4E1E-93DE-E21436E4C815} - C:\WINDOWS\system32\nnnklih.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\sjcwhkwh.dll",setvm
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O20 - Winlogon Notify: ddabc - C:\WINDOWS\system32\ddabc.dll (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe








Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5068-C3F0

Verzeichnis von c:\

10.04.2007 14:00 0 dirdat.txt
10.04.2007 13:57 4.952 avenger.txt
10.04.2007 13:57 402.653.184 pagefile.sys
10.04.2007 13:43 1.458 vnbccwqh.txt
09.04.2007 22:12 2.517 VundoFix.txt
09.04.2007 20:41 8.635 ComboFix.txt
09.04.2007 20:41 894 ComboFix-quarantined-files.txt
01.04.2007 16:11 18.626 GF_Excpt.txt
25.02.2007 19:54 26 super.txt
23.01.2007 18:59 26 usm.txt
14.12.2006 16:38 268 sqmdata01.sqm
14.12.2006 16:38 244 sqmnoopt01.sqm
13.12.2006 21:06 268 sqmdata00.sqm
13.12.2006 21:06 244 sqmnoopt00.sqm
01.11.2006 23:21 107.008 system32.txt
01.11.2006 18:00 7.088 sys.txt
01.11.2006 18:00 624 down.txt
01.11.2006 18:00 278 tmp.txt
01.11.2006 17:59 14.488 system.txt
01.11.2006 17:58 445 systemtemp.txt
01.11.2006 17:53 12.875 ComboFix2.txt
28.07.2006 22:46 125 DelUS.bat
13.05.2006 10:58 42.792 Uninstal.exe






Verzeichnis von C:\WINDOWS\system32

10.04.2007 13:58 1.630.626 hwkhwcjs.ini
10.04.2007 13:58 28.225 nvapps.xml
10.04.2007 13:56 486.755 cbadd.ini
09.04.2007 22:20 13.646 wpa.dbl
09.04.2007 22:20 76.412 yiooemia.dll
09.04.2007 22:19 123.972 sjcwhkwh.dll
09.04.2007 22:19 478.688 cbadd.bak1
09.04.2007 22:13 136.464 FNTCACHE.DAT
25.03.2007 09:50 401.064 perfh009.dat
25.03.2007 09:50 62.344 perfc009.dat
25.03.2007 09:50 74.996 perfc007.dat
25.03.2007 09:50 415.470 perfh007.dat
25.03.2007 09:50 966.250 PerfStringBackup.INI
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
04.03.2007 00:51 45.056 sstunst2.exe
04.03.2007 00:51 875.985 Pamela Anderson Nude.msf
04.03.2007 00:51 475.136 Pamela Anderson Nude.scr
25.02.2007 22:08 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 822.784 wininet.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe
24.12.2006 13:06 3.057 qtplugin.log
23.12.2006 10:26 98.304 CmdLineExt.dll
21.12.2006 23:13 23.392 nscompat.tlb
21.12.2006 23:13 16.832 amcompat.tlb
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 23:49 8.494.592 shell32.dll
19.12.2006 20:21 2.138.624 ntoskrnl.exe
19.12.2006 20:21 2.018.304 ntkrnlpa.exe
19.12.2006 20:17 334.336 wiaservc.dll
04.12.2006 16:21 414.720 msscp.dll
27.11.2006 16:54 539.136 msftedit.dll
27.11.2006 16:54 433.152 riched20.dll





Verzeichnis von C:\WINDOWS

10.04.2007 13:58 0 0.log
10.04.2007 13:58 1.397.257 WindowsUpdate.log
10.04.2007 13:57 2.048 bootstat.dat
10.04.2007 13:56 32.544 SchedLgU.Txt
08.04.2007 16:49 946 gfscore.ini
06.04.2007 22:17 139 msicpl.ini
06.04.2007 16:27 291.755 Directx.log
04.04.2007 09:54 20.767 WgaNotify.log
04.04.2007 09:54 47.193 setupapi.log
04.04.2007 09:53 838.595 iis6.log
04.04.2007 09:53 152.976 ntdtcsetup.log
04.04.2007 09:53 36.967 tabletoc.log
04.04.2007 09:53 39.912 ocmsn.log
04.04.2007 09:53 1.355 imsins.log
04.04.2007 09:53 334.331 tsoc.log
04.04.2007 09:53 12.295 KB925902.log
04.04.2007 09:53 250.916 comsetup.log
04.04.2007 09:53 50.894 medctroc.Log
04.04.2007 09:53 356.435 ocgen.log
04.04.2007 09:53 126.247 netfxocm.log
04.04.2007 09:53 36.411 msgsocm.log
04.04.2007 09:53 715.024 FaxSetup.log
04.04.2007 09:53 231.892 msmqinst.log
04.04.2007 09:53 58.039 updspapi.log
03.04.2007 23:42 8 f33.ini
31.03.2007 10:39 83 wwp.INI
26.03.2007 20:22 168.025 wmsetup.log
13.03.2007 22:29 1.374 imsins.BAK
13.03.2007 22:29 9.496 KB929399.log
13.03.2007 22:28 13.463 KB929338.log
13.03.2007 20:08 153.246 setupact.log
10.03.2007 15:30 1.753 uninst_3155.dat
10.03.2007 15:30 637.620 uninst_3155.exe
10.03.2007 15:23 1.801 uninst_4004.dat
10.03.2007 15:22 637.620 uninst_4004.exe
10.03.2007 14:09 1.885 uninst_7000.dat
10.03.2007 14:09 637.620 uninst_7000.exe
05.03.2007 16:53 1.025.409 setupapi.log.0.old
25.02.2007 22:09 17.431 KB927779.log
25.02.2007 22:09 14.120 KB927802.log
25.02.2007 22:09 14.560 KB928255.log
25.02.2007 22:09 11.071 KB924667.log
25.02.2007 22:09 23.511 KB931836.log
25.02.2007 22:08 13.012 KB926436.log
25.02.2007 22:08 9.385 KB928090-IE7.log
25.02.2007 22:08 10.672 KB918118.log
25.02.2007 22:07 10.565 KB928843.log
23.01.2007 17:28 128.794 War3Unin.dat
12.01.2007 20:28 779 win.ini
12.01.2007 20:27 3.574 KB929969.log
26.12.2006 15:41 134 pink
21.12.2006 23:13 84.955 spupdsvc.log
21.12.2006 23:11 3.388 wmsetup10.log
21.12.2006 23:04 7.808 KB926239.log
21.12.2006 23:03 5.263 MSCompPackV1.log
21.12.2006 23:03 18.625 wmp11.log




Verzeichnis von C:\DOKUME~1\Manfred.TIM\LOKALE~1\Temp

10.04.2007 13:49 1.536 wmplog01.sqm
10.04.2007 13:37 16.384 ~DF3C4.tmp
10.04.2007 13:37 16.384 ~DF35B.tmp
10.04.2007 13:37 16.384 ~DF424.tmp
10.04.2007 13:37 16.384 ~DF2F2.tmp
10.04.2007 13:36 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}8255.html
10.04.2007 13:36 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}25565.html
10.04.2007 13:35 16.384 ~DF87CC.tmp
10.04.2007 13:35 16.384 ~DF7F5B.tmp
09.04.2007 22:48 16.384 ~DF178F.tmp
09.04.2007 22:48 16.384 ~DFED67.tmp
09.04.2007 22:30 16.384 ~DF14D6.tmp
09.04.2007 22:30 16.384 ~DF1487.tmp
09.04.2007 22:30 16.384 ~DF141C.tmp
09.04.2007 22:30 16.384 ~DF13AA.tmp
09.04.2007 22:15 16.384 ~DF2EBA.tmp
09.04.2007 22:15 16.384 ~DF822.tmp
09.04.2007 22:11 16.384 ~DFE874.tmp
09.04.2007 22:10 16.384 ~DFE882.tmp
09.04.2007 22:10 512 ~DFE88F.tmp
09.04.2007 22:10 16.384 ~DFE84C.tmp
09.04.2007 22:10 16.384 ~DFE867.tmp
09.04.2007 22:10 512 ~DFE859.tmp
09.04.2007 22:10 512 ~DFE83E.tmp
09.04.2007 22:10 16.384 ~DFE831.tmp
09.04.2007 22:01 32.768 ~DFBF50.tmp
09.04.2007 21:17 1.644 wmplog00.sqm
09.04.2007 20:32 32.768 ~DFBE6B.tmp
09.04.2007 20:31 512 ~DFB862.tmp
09.04.2007 20:31 16.384 ~DFB855.tmp
30 Datei(en) 400.405 Bytes
0 Verzeichnis(se), 7.881.732.096 Bytes frei

#6 Wir naehern uns aber dem Ziel mit grossen Schritten. Da muessen wir nochmal Avenger nutzen

Zitat

Files to delete:
C:\WINDOWS\system32\hwkhwcjs.ini
C:\WINDOWS\system32\cbadd.ini
C:\WINDOWS\system32\yiooemia.dll
C:\WINDOWS\system32\cbadd.bak1
C:\WINDOWS\system32\sjcwhkwh.dll

In Hijackthis koenntest du auch noch folgendes fixen:
O2 - BHO: (no name) - {0C8640C8-83E1-459D-A8FC-BCBC6095DC74} - C:\WINDOWS\system32\ddabc.dll (file missing)
O2 - BHO: (no name) - {9D7EF71F-92F4-4E1E-93DE-E21436E4C815} - C:\WINDOWS\system32\nnnklih.dll (file missing)
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\sjcwhkwh.dll",setvm
O20 - Winlogon Notify: ddabc - C:\WINDOWS\system32\ddabc.dll (file missing)

Nach einem Neustart nochmal das Spiel mit Hijackthis und datfind.bat
__________
MfG Ralf
SEO-Spam Hunter

#7 Hier Hijackthis und datfindbat


Logfile of HijackThis v1.99.1
Scan saved at 14:55:03, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Manfred.TIM\Desktop\asus\hijackthis\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5068-C3F0

Verzeichnis von c:\

10.04.2007 14:55 0 dirdat.txt
10.04.2007 14:52 0 avenger.txt
10.04.2007 14:52 402.653.184 pagefile.sys
10.04.2007 14:50 370 dyabagwv.txt
10.04.2007 13:43 1.458 vnbccwqh.txt
09.04.2007 22:12 2.517 VundoFix.txt
09.04.2007 20:41 8.635 ComboFix.txt
09.04.2007 20:41 894 ComboFix-quarantined-files.txt
01.04.2007 16:11 18.626 GF_Excpt.txt
25.02.2007 19:54 26 super.txt
23.01.2007 18:59 26 usm.txt
14.12.2006 16:38 268 sqmdata01.sqm
14.12.2006 16:38 244 sqmnoopt01.sqm
13.12.2006 21:06 268 sqmdata00.sqm
13.12.2006 21:06 244 sqmnoopt00.sqm
01.11.2006 23:21 107.008 system32.txt
01.11.2006 18:00 7.088 sys.txt
01.11.2006 18:00 624 down.txt
01.11.2006 18:00 278 tmp.txt
01.11.2006 17:59 14.488 system.txt
01.11.2006 17:58 445 systemtemp.txt
01.11.2006 17:53 12.875 ComboFix2.txt
28.07.2006 22:46 125 DelUS.bat
13.05.2006 10:58 42.792 Uninstal.exe
28.03.2006 16:47 422 sig
12.03.2006 19:54 204 rominfo.txt
02.01.2006 13:03 54.098 tv3d_debug.txt
01.01.2006 13:48 2.786 LGSInst.Log
31.12.2005 13:42 129 Verkn�pfung mit 3«-Diskette (A).lnk
23.12.2005 20:43 0 logwmemory.bin
17.12.2005 13:41 2.202 TDSLCheck.txt
05.12.2005 19:20 61 bananas.ini
26.10.2005 12:33 2.360 Gens.cfg
26.10.2005 12:32 40 language.dat
21.10.2005 20:09 131.072 DOKUM2.srm





Verzeichnis von C:\WINDOWS\system32

10.04.2007 14:53 1.630.705 hwkhwcjs.ini
10.04.2007 14:52 28.225 nvapps.xml
10.04.2007 13:56 486.755 cbadd.ini
09.04.2007 22:20 13.646 wpa.dbl
09.04.2007 22:20 76.412 yiooemia.dll
09.04.2007 22:19 123.972 sjcwhkwh.dll
09.04.2007 22:19 478.688 cbadd.bak1
09.04.2007 22:13 136.464 FNTCACHE.DAT
25.03.2007 09:50 401.064 perfh009.dat
25.03.2007 09:50 62.344 perfc009.dat
25.03.2007 09:50 74.996 perfc007.dat
25.03.2007 09:50 415.470 perfh007.dat
25.03.2007 09:50 966.250 PerfStringBackup.INI
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
04.03.2007 00:51 45.056 sstunst2.exe
04.03.2007 00:51 875.985 Pamela Anderson Nude.msf
04.03.2007 00:51 475.136 Pamela Anderson Nude.scr
25.02.2007 22:08 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 822.784 wininet.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advp






Verzeichnis von C:\WINDOWS

10.04.2007 14:52 0 0.log
10.04.2007 14:52 1.408.880 WindowsUpdate.log
10.04.2007 14:52 2.048 bootstat.dat
10.04.2007 14:51 32.544 SchedLgU.Txt
08.04.2007 16:49 946 gfscore.ini
06.04.2007 22:17 139 msicpl.ini
06.04.2007 16:27 291.755 Directx.log
04.04.2007 09:54 20.767 WgaNotify.log
04.04.2007 09:54 47.193 setupapi.log
04.04.2007 09:53 838.595 iis6.log
04.04.2007 09:53 152.976 ntdtcsetup.log
04.04.2007 09:53 36.967 tabletoc.log
04.04.2007 09:53 39.912 ocmsn.log
04.04.2007 09:53 1.355 imsins.log
04.04.2007 09:53 334.331 tsoc.log
04.04.2007 09:53 12.295 KB925902.log
04.04.2007 09:53 250.916 comsetup.log
04.04.2007 09:53 50.894 medctroc.Log
04.04.2007 09:53 356.435 ocgen.log
04.04.2007 09:53 126.247 netfxocm.log
04.04.2007 09:53 36.411 msgsocm.log
04.04.2007 09:53 715.024 FaxSetup.log
04.04.2007 09:53 231.892 msmqinst.log
04.04.2007 09:53 58.039 updspapi.log
03.04.2007 23:42 8 f33.ini
31.03.2007 10:39 83 wwp.INI
26.03.2007 20:22 168.025 wmsetup.log
13.03.2007 22:29 1.374 imsins.BAK
13.03.2007 22:29 9.496 KB929399.log
13.03.2007 22:28 13.463 KB929338.log
13.03.2007 20:08 153.246 setupact.log
10.03.2007 15:30 1.753 uninst_3155.dat
10.03.2007 15:30 637.620 uninst_3155.exe
10.03.2007 15:23 1.801 uninst_4004.dat
10.03.2007 15:22 637.620 uninst_4004.exe
10.03.2007 14:09 1.885 uninst_7000.dat
10.03.2007 14:09 637.620 uninst_7000.exe
05.03.2007 16:53 1.025.409 setupapi.log.0.old
25.02.2007 22:09 17.431 KB927779.log
25.02.2007 22:09 14.120 KB927802.log
25.02.2007 22:09 14.560 KB928255.log
25.02.2007 22:09 11.071 KB924667.log
25.02.2007 22:09 23.511 KB931836.log
25.02.2007 22:08 13.012 KB926436.log
25.02.2007 22:08 9.385 KB928090-IE7.log
25.02.2007 22:08 10.672 KB918118.log
25.02.2007 22:07 10.565 KB928843.log
23.01.2007 17:28 128.794 War3Unin.dat
12.01.2007 20:28 779 win.ini
12.01.2007 20:27 3.574 KB929969.log
26.12.2006 15:41 134 pink
21.12.2006 23:13 84.955 spupdsvc.log
21.12.2006 23:11 3.388 wmsetup10.log
21.12.2006 23:04 7.808 KB926239.log
21.12.2006 23:03 5.263 MSCompPackV1.log
21.12.2006 23:03 18.625 wmp11.log
21.12.2006 23:02 26.026 WMFDist11.log
21.12.2006 23:02 316.640 WMSysPr9.prx
21.12.2006 23:02 10.708 Wudf01000Inst.log
17.12.2006 17:15 21.504 jestertb.dll
14.12.2006 17:26 26.301 ie7_main.log
14.12.2006 17:26 53.121 ie7.log
14.12.2006 17:25 13.515 IDNMitigationAPIs.log
14.12.2006 17:25 11.976 NLSDownlevelMapping.log
14.12.2006 17:25 10.047 KB915865.log
14.12.2006 17:24 5.655 KB914440.log
14.12.2006 17:24 28.640 KB925454.log
14.12.2006 17:24 10.729 KB904942.log
13.12.2006 22:21 9.661 KB925398.log
13.12.2006 22:21 11.024 KB923689.log
13.12.2006 22:20 11.216 KB926255.log
13.12.2006 22:20 11.056 KB923694.log
12.12.2006 17:43 23 BlendSettings.ini
09.12.2006 16:12 50 GunzLauncher.INI
04.12.2006 20:50 1.965 KB842773.log
28.11.2006 22:11 0 PowerReg.dat
23.11.2006 21:21 478 setuplog.txt
17.11.2006 19:45 15.728 KB923980.log
17.11.2006 19:45 15.365 KB924270.log
17.11.2006 19:44 14.650 KB920213.log
17.11.2006 19:44 17.303 KB922760.log
04.11.2006 19:17 216 wiadebug.log
04.11.2006 16:24 50 wiaservc.log




Verzeichnis von C:\DOKUME~1\Manfred.TIM\LOKALE~1\Temp

10.04.2007 14:47 425 DelUS.bat
10.04.2007 14:42 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}26040.html
10.04.2007 14:19 1.384 wmplog00.sqm
10.04.2007 14:12 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}14527.html
10.04.2007 14:12 16.384 ~DF5D1D.tmp
10.04.2007 14:12 16.384 ~DF5546.tmp
10.04.2007 13:37 16.384 ~DF3C4.tmp
10.04.2007 13:37 16.384 ~DF424.tmp
10.04.2007 13:37 16.384 ~DF35B.tmp
10.04.2007 13:37 16.384 ~DF2F2.tmp
10.04.2007 13:35 16.384 ~DF87CC.tmp
10.04.2007 13:35 16.384 ~DF7F5B.tmp
09.04.2007 22:48 16.384 ~DF178F.tmp
09.04.2007 22:48 16.384 ~DFED67.tmp
09.04.2007 22:30 16.384 ~DF1487.tmp
09.04.2007 22:30 16.384 ~DF141C.tmp
09.04.2007 22:30 16.384 ~DF13AA.tmp
09.04.2007 22:30 16.384 ~DF14D6.tmp
09.04.2007 22:15 16.384 ~DF2EBA.tmp
09.04.2007 22:15 16.384 ~DF822.tmp
09.04.2007 22:11 16.384 ~DFE874.tmp
09.04.2007 22:10 16.384 ~DFE882.tmp
09.04.2007 22:10 512 ~DFE88F.tmp
09.04.2007 22:10 16.384 ~DFE867.tmp
09.04.2007 22:10 16.384 ~DFE84C.tmp
09.04.2007 22:10 512 ~DFE859.tmp
09.04.2007 22:10 16.384 ~DFE831.tmp
09.04.2007 22:10 512 ~DFE83E.tmp
09.04.2007 22:01 32.768 ~DFBF50.tmp
09.04.2007 20:32 32.768 ~DFBE6B.tmp
09.04.2007 20:31 512 ~DFB862.tmp
09.04.2007 20:31 16.384 ~DFB855.tmp
32 Datei(en) 431.802 Bytes
0 Verzeichnis(se), 8.863.109.120 Bytes frei

#8 Hm, das Hijackthis sieht zwar sauber aus, aber Die DAteien, die Avenger loeschen sollte, sind alle noch da!?

Ich denke aber, die Dateien kannst du nun auch per Hand loeschen. Versuch macht "kluch", also diese Dateien mit Hilfe des Explorers loeschen:

C:\WINDOWS\system32\hwkhwcjs.ini
C:\WINDOWS\system32\cbadd.ini
C:\WINDOWS\system32\yiooemia.dll
C:\WINDOWS\system32\cbadd.bak1
C:\WINDOWS\system32\sjcwhkwh.dll
__________
MfG Ralf
SEO-Spam Hunter

#9 du hast recht
seltsamerweise funktioniert der avanger nur jedes zweite mal wenn ich ihn verwende . davor kam auch ein error statt nem log aber diesmal gings hier das log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qabmfdax

*******************

Script file located at: \??\C:\WINDOWS\etqqxnko.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\hwkhwcjs.ini deleted successfully.
File C:\WINDOWS\system32\cbadd.ini deleted successfully.
File C:\WINDOWS\system32\yiooemia.dll deleted successfully.
File C:\WINDOWS\system32\cbadd.bak1 deleted successfully.
File C:\WINDOWS\system32\sjcwhkwh.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#10 Dann mache nochmal einen Scan mit Antivir und diesen Einstellungen http://board.protecus.de/t23979.htm funde bitte in die Quarantaene schieben und hier melden.
Ein Kontrollscan mit Drweb Cureit waere auch hilfreich: http://freedrweb.com/?lng=de

Aber vorher bitte die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern, nutzen.
http://support.microsoft.com/default.aspx?scid=kb;de;315246
__________
MfG Ralf
SEO-Spam Hunter

#11 Alles wieder normal , Antivir hat nix gefunden.

RIESEN thx an dich das du mir geholfen hast ^^

#12 Schoen zu hoeren, Du solltest noch einen Ordner c:\avenger haben, indem sich eine backup.zip befindet. Es waere nett, wenn du mir diese Zip an meine unten angegebene Adresse schicken koenntest. Danach kannst du den Ordner avenger loeschen.
__________
MfG Ralf
SEO-Spam Hunter