Home » Viren, Trojaner & Malware Forum » Rechner hängt sich auf nach Anmeldung auf gesicherten Internetseiten » Themenansicht

Rechner hängt sich auf nach Anmeldung auf gesicherten Internetseiten
#0
30.04.2007, 10:37
Silenthill66
...neu hier

Beiträge: 4
#1 Wunderschönen Guten Morgen,

auf Anraten meines Nachbarn, werde ich mal bei euch mein kleines Problem schildern.

Angefangen hat es vor 2 Tagen, jedesmal wenn ich versucht hab mich auf irgendeiner Webseite, egal ob WEB.de oder sonstige, anzumelden mit Username und Passwort hat sich mein PC komplett aufgehangen. Es ist nichts mehr gegangen musste mit dem Resetknopf neustarten.
Zum Teil hat sich der Rechner auch schon aufgehangen, wenn ich nur ein paar Wörter im Word geschrieben habe.
Habe schon CCleaner und nen Antivir drüberlaufen lassen jedoch ohne Erfolg.

Hier noch die Hijackthis- Datei (Hat mir mein Nachbar empfohlen die gleich mit reinzupacken)


Logfile of HijackThis v1.99.1
Scan saved at 22:55:13, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\windows\system32\rlvknlg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Renee\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



Bitte um eure Hilfe... Besten Dank im Voraus

Mit freundlichen Gruß

R.Rätzer
Seitenanfang Seitenende
30.04.2007, 11:03
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

Applikation-Log unter Ereignisse nach Fehlern untersuchen,
New.net - über Systemsteuerung deinstallieren.

Danach bitte neues Log von Hijackthis, vorher Hijackthis umbenennen auf z. B. TestThis.exe....

Und poste die fehlenden Logs:

Zitat

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
Gruß,
Chris
Seitenanfang Seitenende
30.04.2007, 11:44
Silenthill66
...neu hier

Themenstarter

Beiträge: 4
#3 Hi also hier nochmal der Log vom Hijackthis,

Logfile of HijackThis v1.99.1
Scan saved at 11:42:52, on 30.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\windows\system32\rlvknlg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Renee\Eigene Dateien\Rene´\testthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RelevantKnowledge] C:\windows\system32\rlvknlg.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe



==>Und poste die fehlenden Logs: (versteh ich jetzt nicht ganz was damit gemeint sein soll, sorry)

Zitat:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
Seitenanfang Seitenende
30.04.2007, 11:49
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

schaue unter dem Link nach,
datfind wäre sehr wichtig...

Chris
Seitenanfang Seitenende
30.04.2007, 12:15
Silenthill66
...neu hier

Themenstarter

Beiträge: 4
#5 ok, also hier combofix

"Ren‚" - 07-04-30 12:00:10 Service Pack 2
ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\Renee\Eigene Dateien\Rene'\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\DOKUME~1\Renee\Desktop.\internet explorer.lnk
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\rlls.dll


((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-30 ))))))))))))))))))))))))))))))))))


2007-04-30 11:02 898,736 --a------ C:\WINDOWS\system32\Ltr13n.dll
2007-04-30 11:02 86,016 --a------ C:\WINDOWS\unvise32.exe
2007-04-30 11:02 81,920 --a------ C:\WINDOWS\system32\vdrmux.dll
2007-04-30 11:02 73,728 --a------ C:\WINDOWS\system32\MMAviAx.dll
2007-04-30 11:02 49,152 --a------ C:\WINDOWS\system32\PCLEGetGuid.dll
2007-04-30 11:02 46,592 --a------ C:\WINDOWS\system32\vdrcodec.dll
2007-04-30 11:02 450,641 --a------ C:\WINDOWS\system32\DiskIO.dll
2007-04-30 11:02 40,960 --a------ C:\WINDOWS\system32\langserv.dll
2007-04-30 11:02 32,838 --a------ C:\WINDOWS\system32\Cachex.dll
2007-04-30 11:02 32,768 --a------ C:\WINDOWS\system32\MLPagAx.dll
2007-04-30 11:02 298,168 --a------ C:\WINDOWS\system32\Ltrio13n.dll
2007-04-30 11:02 143,360 --a------ C:\WINDOWS\system32\RALMain.dll
2007-04-30 11:02 114,759 --a------ C:\WINDOWS\system32\Aviprax.dll
2007-04-30 10:59 61,440 --a------ C:\WINDOWS\system32\pclepim1.dll
2007-04-30 10:59 60,416 --a------ C:\WINDOWS\system32\miroDV2Bmp.dll
2007-04-30 10:59 <DIR> d-------- C:\Programme\Pinnacle
2007-04-30 10:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-04-29 22:21 <DIR> d-------- C:\Programme\CCleaner
2007-04-07 17:08 4,812,800 --a------ C:\DOKUME~1\Renee\ntuser.dat


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-30 11:02 -------- d-------- C:\Programme\windows media connect 2
2007-04-30 10:59 -------- d--h----- C:\Programme\installshield installation information
2007-04-30 10:57 -------- d-------- C:\Programme\google
2007-04-29 13:59 1503232 --a------ C:\WINDOWS\system32\rlvknlg.exe
2007-04-27 13:31 1503232 --a------ C:\WINDOWS\system32\rk.bin
2007-03-25 17:57 63580 --a--c--- C:\WINDOWS\system32\perfc007.dat
2007-03-25 17:57 391000 --a--c--- C:\WINDOWS\system32\perfh007.dat
2007-03-08 15:57 -------- d-------- C:\Programme\icqlite
2007-02-23 07:45 125456 --a------ C:\DOKUME~1\Renee\ANWEND~1\gdipfontcachev1.dat
2007-02-22 10:22 8464 --a------ C:\WINDOWS\system32\sporder.dll
2007-02-21 18:03 552 --a------ C:\WINDOWS\system32\d3d8caps.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"POINTER"="point32.exe"
"SoundMan"="SOUNDMAN.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"AnyDVD"="\"C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iconcache"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Corel MEDIA FOLDERS INDEXER 8.LNK]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Corel MEDIA FOLDERS INDEXER 8.LNK"
"backup"="C:\\WINDOWS\\pss\\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Corel\\GRAPHI~1\\Programs\\MFINDE~1.EXE "
"item"="Corel MEDIA FOLDERS INDEXER 8"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveWGA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RemoveWGA"
"hkey"="HKLM"
"command"="E:\\RemoveWGA.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"FirebirdServerMAGIXInstance"=dword:00000003
"wuauserv"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-30 12:01:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-30 12:01:46
C:\ComboFix-quarantined-files.txt ... 07-04-30 12:01


_______________________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C0D-F168

Verzeichnis von C:\WINDOWS\system32

30.04.2007 11:06 434.960 FNTCACHE.DAT
29.04.2007 22:34 16.832 amcompat.tlb
29.04.2007 22:34 23.392 nscompat.tlb
29.04.2007 22:27 2.206 wpa.dbl
29.04.2007 13:59 1.503.232 rlvknlg.exe
27.04.2007 13:31 1.503.232 rk.bin
20.04.2007 16:57 4.254 jupdate-1.6.0_01-b06.log
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 17:57 380.350 perfh009.dat
25.03.2007 17:57 52.764 perfc009.dat
25.03.2007 17:57 391.000 perfh007.dat
25.03.2007 17:57 63.580 perfc007.dat
25.03.2007 17:57 897.954 PerfStringBackup.INI
22.02.2007 10:22 8.464 sporder.dll
21.02.2007 18:03 552 d3d8caps.dat
21.02.2007 14:56 22 ati64hlp.stb
18.02.2007 12:08 9.857 jupdate-1.5.0_11-b03.log
19.01.2007 13:53 51.056 sirenacm.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C0D-F168

Verzeichnis von C:\DOKUME~1\Renee\LOKALE~1\Temp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C0D-F168

Verzeichnis von C:\WINDOWS

30.04.2007 11:52 0 0.log
30.04.2007 11:52 159 wiadebug.log
30.04.2007 11:52 50 wiaservc.log
30.04.2007 11:52 2.048 bootstat.dat
30.04.2007 11:51 3.216 WindowsUpdate.log
30.04.2007 11:49 111.412 ntbtlog.txt
30.04.2007 11:00 1.839 setupapi.log
29.04.2007 22:34 808 win.ini
29.04.2007 22:30 1.075.733 setupapi.log.1.old
29.04.2007 13:53 32.628 SchedLgU.Txt
21.04.2007 03:52 86.528 catchme.exe
06.04.2007 11:09 507 LEXSTAT.INI
22.03.2007 18:12 202 NeroDigital.ini
21.03.2007 15:53 540 Tcsofla.ini
09.03.2007 11:50 3.320 tm.ini
08.03.2007 12:15 227 system.ini
26.02.2007 16:34 7.279 cdplayer.ini
22.02.2007 12:12 120 ReplacerUndo.txt
21.02.2007 21:15 212 homeDVD-Fotos4_5.INI
21.02.2007 14:48 10 WININIT.INI
03.02.2007 12:01 76.015 _detmp.3
23.01.2007 20:31 76.104 _detmp.1


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C0D-F168

Verzeichnis von C:\WINDOWS\temp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C0D-F168

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 17:44 367 LegitCheckControl.inf
25.06.2006 13:50 1.793 erma.inf
22.06.2006 11:41 5.032 swflash.inf
21.04.2006 13:43 2.461.696 mail_upload.ocx
21.04.2006 12:46 864 mail_upload.inf
31.08.2005 22:19 65 desktop.ini
20.06.2003 08:12 728 jinstall-1_4_2.inf
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 18:05 172.032 isusweb.dll
03.06.2002 18:53 144 QTPlugin.inf
11 Datei(en) 2.863.905 Bytes
0 Verzeichnis(se), 50.445.799.424 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1C0D-F168

Verzeichnis von C:\

30.04.2007 12:12 0 sys.txt
30.04.2007 12:12 811 down.txt
30.04.2007 12:12 117 tmp.txt
30.04.2007 12:11 6.680 system.txt
30.04.2007 12:11 133 systemtemp.txt
30.04.2007 12:11 105.489 system32.txt
30.04.2007 12:01 8.728 ComboFix.txt
30.04.2007 12:01 1.036 ComboFix-quarantined-files.txt
30.04.2007 11:52 1.073.270.784 hiberfil.sys
30.04.2007 11:52 1.073.741.824 pagefile.sys
08.03.2007 12:15 211 boot.ini
04.01.2006 13:13 50 AUTOEXEC.BAT



so hoffe ich hab alles richtig gemacht...
Seitenanfang Seitenende
30.04.2007, 14:05
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

auf die Schnelle(bin in der Firma),
hast Du SW neulich installiert?

Das hier könnte ein Trojaner/Backdoor sein:
[RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot

Den gibt es dann auch noch als BIN-Datei!

Bitte beides prüfen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

c:\windows\system32\rlvknlg.exe
c:\windows\system32\rk.bin
Poste das LOG....

Chris
Dieser Beitrag wurde am 30.04.2007 um 16:22 Uhr von Chris4You editiert.
Seitenanfang Seitenende
30.04.2007, 16:47
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#7 so,

hier bin ich noch einmal:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)


Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RelevantKnowledge

registry keys to delete:

Registry values to replace with dummy:

Files to delete:
C:\windows\system32\rlvknlg.exe
C:\windows\system32\rk.bin
C:\Programme\NewDotNet\newdotnet7_48.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


Hijackthis, fixen (Abgesicherter Modus, F8 beim Booten):
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RelevantKnowledge] C:\windows\system32\rlvknlg.exe -boot
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)


Wenn Du am 2007-04-30 11:02 Uhr ein Programm installiert hast,
ist es OK, ansonsten diese Files untersuchen:
C:\WINDOWS\system32\Ltr13n.dll
C:\WINDOWS\unvise32.exe
C:\WINDOWS\system32\vdrmux.dll
C:\WINDOWS\system32\MMAviAx.dll
etc...


Scanne mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html


So, wenn weiter nichts gefunden wurde kann es jetzt noch einmal "heiss" werden:
LSPfix.exe
http://www.spychecker.com/program/lspfix.html

hake an: "I know what Im doing"--Remove
und loesche eventuell vorhandene newdotnet*_**.dll-Files (*=eine Zahl, sollte sein: newdotnet7_48.dll)
(eventuell musst du die dll von links nach rechts bringen)

Hierzu kannst Du auch dem Tread

Zitat

http://board.protecus.de/t19309.htm
folgen...

Chris
Seitenanfang Seitenende
01.05.2007, 09:24
Silenthill66
...neu hier

Themenstarter

Beiträge: 4
#8 Guten Morgen,
sorry das ich erst jetzt schreibe. Es waren die 3 Dateien

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RelevantKnowledge] C:\windows\system32\rlvknlg.exe -boot
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)


sonst hab ich nichts gefunden und der Rechner läuft auch wieder einwandfrei.

Besten Dank. Ihr seid echt super hier. Werde ich liebend gerne weiterempfehlen.

Grüße René
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1