Trojan Adware.W32.ExpDwnldr spyware --> Drive Cleaner u.a.

#0
24.06.2007, 14:02
...neu hier

Beiträge: 9
#1 Hallo liebe forumsteilnehmer,

nach dem ich seit gestern hier rumlese und schon einiges probiert habe, den bug aber noch immer nicht los geworden bin, poste ich jetzt hier mal die log files von hijackthis, combofix und meinem virenscannner antivir.

soweit ich das verstanden habe, muss man dann den rechner im abgesicherten modus starten und bestimmte einträge aus dem log von hijack löschen. hab's gestern auch probiert, hat aber irgendwie nicht funktioniert

ich hoffe ihr könnt mir helfen hier jetzt die logs

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:25:26, on 24.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Bär.BÄR\Desktop\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MSVPS System - {A1770FD6-A7CB-44DA-AD2C-692D2A2B521B} - C:\WINNT\vpsnetwork.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177570006607
O21 - SSODL: vpssup - {0FFA9F6B-6DE8-4F04-8381-8B0E2F18A20C} - C:\WINNT\vpssup.dll
O21 - SSODL: expro - {9D8A11AB-7A72-4F2F-A041-93F22E46A0AC} - C:\WINNT\expro.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINNT\privacy_danger\index.htm

--
End of file - 5173 bytes




das ist der combofix

"B„r" - 24.06.2007 13:40:15 - ComboFix 07-06-23.5 - Service Pack 4 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\msxml3a.dll


((((((((((((((((((((((((( Files Created from 2007-05-24 to 2007-06-24 )))))))))))))))))))))))))))))))


2007-06-24 13:39 49,152 --a------ C:\WINNT\nircmd.exe
2007-06-24 12:07 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\AntiVir PersonalEdition Premium
2007-06-23 22:39 <DIR> d-------- C:\Programme\CCleaner
2007-06-23 21:54 <DIR> dr------- C:\WINNT\Offline Web Pages
2007-06-23 21:49 94,480 --a------ C:\WINNT\system32\msencode.dll
2007-06-23 21:49 91,920 --a------ C:\WINNT\system32\cryptdlg.dll
2007-06-23 21:49 72,464 --a------ C:\WINNT\system32\actxprxy.dll
2007-06-23 21:49 70,144 --a------ C:\WINNT\system32\inetcplc.dll
2007-06-23 21:49 59,152 --a------ C:\WINNT\system32\iesetup.dll
2007-06-23 21:49 58,880 --a------ C:\WINNT\system32\mshtmler.dll
2007-06-23 21:49 529,680 --a------ C:\WINNT\system32\comctl32.dll
2007-06-23 21:49 523,024 --a------ C:\WINNT\system32\mlang.dll
2007-06-23 21:49 46,352 --a------ C:\WINNT\system32\digest.dll
2007-06-23 21:49 38,912 --a------ C:\WINNT\system32\browselc.dll
2007-06-23 21:49 38,672 --a------ C:\WINNT\system32\msident.dll
2007-06-23 21:49 347,136 --a------ C:\WINNT\system32\shdoclc.dll
2007-06-23 21:49 31,504 --a------ C:\WINNT\system32\imgutil.dll
2007-06-23 21:49 29,968 --a------ C:\WINNT\system32\mshta.exe
2007-06-23 21:49 250,128 --a------ C:\WINNT\system32\msieftp.dll
2007-06-23 21:49 21,776 --a------ C:\WINNT\system32\shfolder.dll
2007-06-23 21:49 18,704 --a------ C:\WINNT\system32\sendmail.dll
2007-06-23 21:49 16,896 --a------ C:\WINNT\system32\msidntld.dll
2007-06-23 21:49 14,608 --a------ C:\WINNT\system32\corpol.dll
2007-06-23 21:42 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Help
2007-06-23 21:26 <DIR> d-------- C:\VundoFix Backups
2007-06-23 18:49 <DIR> d-------- C:\WINNT\privacy_danger
2007-06-23 18:48 75,776 --a------ C:\WINNT\expro.dll
2007-06-23 18:48 59,904 --a------ C:\WINNT\vpssup.dll
2007-06-23 18:48 270,336 --a------ C:\WINNT\vpsnetwork.dll
2007-06-21 13:17 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Media Player Classic
2007-06-21 09:52 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Leadertech
2007-06-19 08:58 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_370.dat
2007-06-18 14:29 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_330.dat
2007-06-18 13:59 <DIR> d-a------ C:\WINNT\system32\appmgmt
2007-06-16 21:28 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_30c.dat
2007-06-16 20:05 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\MusicIP
2007-06-16 19:24 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_318.dat
2007-06-16 19:22 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_484.dat
2007-06-14 14:05 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_538.dat
2007-06-13 08:56 <DIR> d-------- C:\WINNT\winsxs
2007-06-09 09:44 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_334.dat
2007-06-07 18:52 <DIR> d-------- C:\WINNT\system32\SoftwareDistribution
2007-06-06 12:45 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_39c.dat
2007-06-06 09:44 <DIR> d-------- C:\Programme\ElsterFormular
2007-06-02 20:06 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_1fc.dat
2007-05-31 08:45 524,288 --a------ C:\WINNT\system32\DivXsm.exe
2007-05-31 08:44 823,296 --a------ C:\WINNT\system32\divx_xx0c.dll
2007-05-31 08:44 823,296 --a------ C:\WINNT\system32\divx_xx07.dll
2007-05-31 08:44 802,816 --a------ C:\WINNT\system32\divx_xx11.dll
2007-05-31 08:44 740,442 --a------ C:\WINNT\system32\DivX.dll
2007-05-25 18:59 <DIR> d-------- C:\Programme\Zylom Games
2007-05-25 18:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Zylom
2007-05-23 14:30 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_328.dat
2007-05-23 12:58 <DIR> d-------- C:\WINNT\FLV Player
2007-05-23 12:58 <DIR> d-------- C:\Programme\FLV Player
2007-05-21 19:40 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_f8.dat
2007-05-20 18:07 73,872 --a------ C:\WINNT\system32\drivers\wdmaud.sys
2007-05-20 18:07 53,552 --a------ C:\WINNT\system32\drivers\swmidi.sys
2007-05-20 18:07 51,152 --a------ C:\WINNT\system32\drivers\DMusic.sys
2007-05-20 18:07 47,568 --a------ C:\WINNT\system32\drivers\sysaudio.sys
2007-05-20 18:07 148,304 --a------ C:\WINNT\system32\drivers\kmixer.sys
2007-05-20 18:06 9,808 --a------ C:\WINNT\system32\drivers\gameenum.sys
2007-05-20 18:06 42,000 --a------ C:\WINNT\system32\drivers\stream.sys
2007-05-20 18:06 4,880 --a------ C:\WINNT\system32\ksuser.dll
2007-05-20 18:06 148,208 --a------ C:\WINNT\system32\drivers\portcls.sys
2007-05-20 18:06 113,744 --a------ C:\WINNT\system32\drivers\ks.sys
2007-05-20 18:05 331,184 --------- C:\WINNT\system32\difxapi.dll
2007-05-20 18:05 203,648 --a------ C:\WINNT\system32\drivers\vinyl97.sys
2007-05-20 18:05 <DIR> d-------- C:\Programme\VIA
2007-05-20 17:32 <DIR> d-------- C:\Programme\Lavalys
2007-05-17 15:33 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_fc.dat
2007-05-17 15:31 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Apple Computer
2007-05-14 06:14 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\OpenOffice.org2
2007-05-14 06:13 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_348.dat
2007-05-13 16:56 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\ScanSoft
2007-05-13 16:14 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Canon
2007-05-13 16:12 411 --a------ C:\WINNT\system32\xscan32.dat
2007-05-11 17:23 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\DivX
2007-05-09 18:38 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_394.dat
2007-05-08 19:03 843,776 --ah----- C:\DOKUME~1\BRA489~1.BR\NTUSER.DAT
2007-05-08 19:03 <DIR> dr------- C:\DOKUME~1\BRA489~1.BR\Favoriten
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Vorlagen
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Netzwerkumgebung
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Lokale Einstellungen
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Druckumgebung
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Anwendungsdaten
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\Startmen
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\Eigene Dateien
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Real
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\AOL
2007-05-08 18:41 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\ANWEND~1\AOL
2007-05-08 18:40 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\ANWEND~1\Real
2007-05-08 18:39 249,856 --ah----- C:\DOKUME~1\ADMINI~1.BR\NTUSER.DAT
2007-05-08 18:39 <DIR> dr------- C:\DOKUME~1\ADMINI~1.BR\Favoriten
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Vorlagen
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Netzwerkumgebung
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Lokale Einstellungen
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Druckumgebung
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Anwendungsdaten
2007-05-08 18:39 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\Startmen


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-23 20:41:06 -------- d-----w C:\Programme\AntiVir PersonalEdition Premium
2007-06-18 11:58:53 -------- d-----w C:\Programme\OpenOffice.org 2.2
2007-06-16 19:01:45 -------- d-----w C:\Programme\DivX
2007-06-08 15:19:13 -------- d-----w C:\Programme\ICQLite
2007-06-06 07:46:36 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-06 07:42:28 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-27 16:10:18 -------- d---a-w C:\Programme\AOL 9.0
2007-05-26 14:37:51 -------- d---a-w C:\Programme\Gemeinsame Dateien\aol
2007-05-13 14:10:19 -------- d-----w C:\Programme\Canon
2007-05-04 18:23:16 -------- d---a-w C:\Programme\Gemeinsame Dateien\aolshare
2007-05-04 18:22:50 -------- d-----w C:\Programme\Learn2.com
2007-05-04 18:22:42 -------- d-----w C:\Programme\Viewpoint
2007-05-04 18:22:25 -------- d-----w C:\Programme\Gemeinsame Dateien\Nullsoft
2007-05-04 18:20:33 335 ----a-w C:\WINNT\nsreg.dat
2007-05-04 18:15:05 -------- d---a-w C:\Programme\Gemeinsame Dateien\Dienste
2007-05-03 14:12:42 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_2f8.dat
2007-05-02 18:04:14 118,520 ------w C:\WINNT\system32\pxinsi64.exe
2007-05-02 18:04:14 116,472 ------w C:\WINNT\system32\pxcpyi64.exe
2007-04-29 08:56:16 -------- d-----w C:\Programme\IrfanView
2007-04-27 17:18:40 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_2ec.dat
2007-04-26 09:40:53 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_304.dat
2007-04-26 09:38:22 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_4a8.dat
2007-04-26 08:30:04 -------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-04-26 08:28:11 -------- d-----w C:\Programme\ScanSoft
2007-04-26 07:31:27 -------- d-----w C:\Programme\QuickTime
2007-04-26 07:30:19 -------- d-----w C:\Programme\Apple Software Update
2007-04-26 07:29:29 -------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-04-26 07:29:19 -------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-04-26 07:28:21 -------- d-----w C:\Programme\Real
2007-04-26 07:21:10 -------- d-----w C:\Programme\Mediapiraten
2007-04-26 07:18:18 -------- d-----w C:\Programme\Winamp
2007-04-26 07:12:35 1,140 ----a-w C:\WINNT\mozver.dat
2007-04-25 19:56:13 -------- d---a-w C:\Programme\Windows NT
2007-04-25 19:12:06 -------- d---a-w C:\Programme\avmwlanstick
2007-04-25 18:49:47 0 ---h--w C:\CONFIG.SYS
2007-04-25 18:49:47 0 ---h--w C:\AUTOEXEC.BAT
2007-04-25 18:48:21 46,232 ----a-w C:\WINNT\system32\perfc007.dat
2007-04-25 18:48:21 289,156 ----a-w C:\WINNT\system32\perfh007.dat
2007-04-25 18:46:09 15,076 ----a-w C:\WINNT\system32\emptyregdb.dat
2007-04-25 17:28:10 -------- d---a-w C:\Programme\FRITZ!Box
2007-04-25 16:15:13 -------- d--ha-w C:\Programme\WindowsUpdate
2007-04-25 16:07:20 -------- d---a-w C:\Programme\Zubehör
2007-04-25 15:46:51 -------- d---a-w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-25 15:41:54 -------- d---a-w C:\Programme\Alice
2007-04-25 15:41:52 -------- d---a-w C:\Programme\Gemeinsame Dateien\Alice
2007-04-25 15:15:46 -------- d---a-w C:\Programme\microsoft frontpage
2007-04-25 15:14:30 0 --sha-r C:\MSDOS.SYS
2007-04-25 15:14:30 0 --sha-r C:\IO.SYS
2007-04-25 07:52:16 147,216 ----a-w C:\WINNT\system32\SCHANNEL.DLL
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINNT\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINNT\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINNT\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINNT\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINNT\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINNT\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINNT\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINNT\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINNT\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINNT\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINNT\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINNT\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINNT\system32\DivXCodecUpdateChecker.exe
2007-04-16 20:47:36 33,624 ----a-w C:\WINNT\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINNT\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINNT\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINNT\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINNT\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINNT\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINNT\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINNT\system32\wups2.dll
2007-04-16 12:43:58 54,032 ----a-w C:\WINNT\system32\mpr.dll
2007-04-05 07:17:30 2,854,400 ----a-w C:\WINNT\system32\msi.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [22.10.06 23:08 ]
{1536BA74-8625-4240-99B0-BE65883689C8}=C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll [08.11.06 14:49 ]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [14.03.07 03:43 ]
{A1770FD6-A7CB-44DA-AD2C-692D2A2B521B}=C:\WINNT\vpsnetwork.dll [23.06.07 18:13 ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 C:\WINNT\system32\mobsync.exe]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [13.05.05 02:00 ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" [02.04.07 10:35 ]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe" [17.11.06 15:16 ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [14.03.07 03:43 ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [26.04.07 09:28 ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [16.02.07 10:54 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINNT\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{0FFA9F6B-6DE8-4F04-8381-8B0E2F18A20C}"="C:\WINNT\vpssup.dll" [23.06.07 18:13 ]
"{9D8A11AB-7A72-4F2F-A041-93F22E46A0AC}"="C:\WINNT\expro.dll" [23.06.07 18:13 ]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll


Contents of the 'Scheduled Tasks' folder
2007-04-26 07:30:22 C:\WINNT\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-24 13:42:29
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 24.06.2007 13:43:38
C:\ComboFix-quarantined-files.txt ... 24.06.07 13:43

--- E O F ---




und jetzt der log von AV




AntiVir PersonalEdition Premium
Erstellungsdatum der Reportdatei: Sonntag, 24. Juni 2007 12:35

Es wird nach 838549 Virenstämmen gesucht.

Lizenznehmer: Eric Z?nnchen
Seriennummer: 1100281988-PEPWE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername: Bär
Computername: BÄR

Versionsinformationen:
BUILD.DAT : 287 15691 Bytes 10.05.2007 12:12:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 26.04.2007 06:54:50
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 17:32:03
ANTIVIR2.VDF : 6.39.0.25 648704 Bytes 17.06.2007 12:42:01
ANTIVIR3.VDF : 6.39.0.47 124928 Bytes 22.06.2007 11:58:58
AVEWIN32.DLL : 7.4.0.34 2478592 Bytes 19.06.2007 12:42:03
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.12 360488 Bytes 14.06.2007 06:17:07
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 08.05.2007 15:58:33
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2461736 Bytes 13.03.2007 10:07:33
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:59:16

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Premium\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 24. Juni 2007 12:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HiJackThis_v2.e' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '9' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <MP3>
Beginne mit der Suche in 'E:\' <MP3>
Beginne mit der Suche in 'F:\' <FREE>
Beginne mit der Suche in 'J:\' <MP3>
Beginne mit der Suche in 'K:\' <FREE>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\' <TEENYEXZESSE1>
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 24. Juni 2007 13:39
Benötigte Zeit: 1:03:39 min

Der Suchlauf wurde vollständig durchgeführt.

4181 Verzeichnisse wurden überprüft
203608 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
203608 Dateien ohne Befall
1691 Archive wurden durchsucht
1 Warnungen
12 Hinweise
0 Versteckte Objekte wurden gefunden



es wäre sehr nett, wenn ihr mir helfen könntet

deprimiert aber frohen mutes verabschiedet sich
Eric
Seitenanfang Seitenende
24.06.2007, 14:25
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Scanne mal mit AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
Poste danach nochmal ein HJ log
__________
MfG Argus
Seitenanfang Seitenende
24.06.2007, 16:25
...neu hier

Themenstarter

Beiträge: 9
#3 so, habe scan mit avg gemacht, hat ganz schön lange gedauert, hat tracking cookies und adware gefunden

hier der frische log von hijack this

Logfile of HijackThis v1.99.1
Scan saved at 16:23:34, on 24.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINNT\explorer.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\system32\drwtsn32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BRA489~1.BR\LOKALE~1\Temp\Rar$EX00.379\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MSVPS System - {A1770FD6-A7CB-44DA-AD2C-692D2A2B521B} - C:\WINNT\vpsnetwork.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177570006607
O21 - SSODL: vpssup - {26CE498D-B9D2-4376-A3F7-3B9A8B1BF3F4} - C:\WINNT\vpssup.dll
O21 - SSODL: expro - {F13928CC-BCD3-46AA-BE82-1F68AF2F5685} - C:\WINNT\expro.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

vielen dankeschön für eure hilfe
Seitenanfang Seitenende
24.06.2007, 18:13
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf
C:\qoobox\
C:\VundoFix Backups
Papierkorb leeren

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als ComboFix-Do.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

File::
C:\WINNT\privacy_danger
C:\WINNT\vpsnetwork.dll
C:\WINNT\vpssup.dll
C:\WINNT\expro.dll

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix und ein log
von Hijack This


__________
MfG Argus
Seitenanfang Seitenende
24.06.2007, 19:15
...neu hier

Themenstarter

Beiträge: 9
#5 done...

hier das log von combofic

"B„r" - 24.06.2007 19:01:14 - ComboFix 07-06-23.5 - Service Pack 4 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-24 to 2007-06-24 )))))))))))))))))))))))))))))))


2007-06-24 18:56 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_324.dat
2007-06-24 14:58 10,872 --a------ C:\WINNT\system32\drivers\AvgAsCln.sys
2007-06-24 13:48 34,723 --a------ C:\WINNT\system32\RemoveVideoActiveXObject.reg
2007-06-24 13:48 <DIR> d-------- C:\WINNT\system32\RVAXO
2007-06-24 13:39 49,152 --a------ C:\WINNT\nircmd.exe
2007-06-24 12:07 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\AntiVir PersonalEdition Premium
2007-06-23 22:39 <DIR> d-------- C:\Programme\CCleaner
2007-06-23 21:54 <DIR> dr------- C:\WINNT\Offline Web Pages
2007-06-23 21:49 94,480 --a------ C:\WINNT\system32\msencode.dll
2007-06-23 21:49 91,920 --a------ C:\WINNT\system32\cryptdlg.dll
2007-06-23 21:49 72,464 --a------ C:\WINNT\system32\actxprxy.dll
2007-06-23 21:49 70,144 --a------ C:\WINNT\system32\inetcplc.dll
2007-06-23 21:49 59,152 --a------ C:\WINNT\system32\iesetup.dll
2007-06-23 21:49 58,880 --a------ C:\WINNT\system32\mshtmler.dll
2007-06-23 21:49 529,680 --a------ C:\WINNT\system32\comctl32.dll
2007-06-23 21:49 523,024 --a------ C:\WINNT\system32\mlang.dll
2007-06-23 21:49 46,352 --a------ C:\WINNT\system32\digest.dll
2007-06-23 21:49 38,912 --a------ C:\WINNT\system32\browselc.dll
2007-06-23 21:49 38,672 --a------ C:\WINNT\system32\msident.dll
2007-06-23 21:49 347,136 --a------ C:\WINNT\system32\shdoclc.dll
2007-06-23 21:49 31,504 --a------ C:\WINNT\system32\imgutil.dll
2007-06-23 21:49 29,968 --a------ C:\WINNT\system32\mshta.exe
2007-06-23 21:49 250,128 --a------ C:\WINNT\system32\msieftp.dll
2007-06-23 21:49 21,776 --a------ C:\WINNT\system32\shfolder.dll
2007-06-23 21:49 18,704 --a------ C:\WINNT\system32\sendmail.dll
2007-06-23 21:49 16,896 --a------ C:\WINNT\system32\msidntld.dll
2007-06-23 21:49 14,608 --a------ C:\WINNT\system32\corpol.dll
2007-06-23 21:42 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Help
2007-06-21 13:17 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Media Player Classic
2007-06-21 09:52 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Leadertech
2007-06-19 08:58 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_370.dat
2007-06-18 14:29 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_330.dat
2007-06-18 13:59 <DIR> d-a------ C:\WINNT\system32\appmgmt
2007-06-16 21:28 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_30c.dat
2007-06-16 20:05 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\MusicIP
2007-06-16 19:24 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_318.dat
2007-06-16 19:22 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_484.dat
2007-06-14 14:05 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_538.dat
2007-06-13 08:56 <DIR> d-------- C:\WINNT\winsxs
2007-06-09 09:44 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_334.dat
2007-06-07 18:52 <DIR> d-------- C:\WINNT\system32\SoftwareDistribution
2007-06-06 12:45 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_39c.dat
2007-06-06 09:44 <DIR> d-------- C:\Programme\ElsterFormular
2007-06-02 20:06 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_1fc.dat
2007-05-31 08:45 524,288 --a------ C:\WINNT\system32\DivXsm.exe
2007-05-31 08:44 823,296 --a------ C:\WINNT\system32\divx_xx0c.dll
2007-05-31 08:44 823,296 --a------ C:\WINNT\system32\divx_xx07.dll
2007-05-31 08:44 802,816 --a------ C:\WINNT\system32\divx_xx11.dll
2007-05-31 08:44 740,442 --a------ C:\WINNT\system32\DivX.dll
2007-05-25 18:59 <DIR> d-------- C:\Programme\Zylom Games
2007-05-25 18:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Zylom
2007-05-23 14:30 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_328.dat
2007-05-23 12:58 <DIR> d-------- C:\WINNT\FLV Player
2007-05-23 12:58 <DIR> d-------- C:\Programme\FLV Player
2007-05-21 19:40 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_f8.dat
2007-05-20 18:07 73,872 --a------ C:\WINNT\system32\drivers\wdmaud.sys
2007-05-20 18:07 53,552 --a------ C:\WINNT\system32\drivers\swmidi.sys
2007-05-20 18:07 51,152 --a------ C:\WINNT\system32\drivers\DMusic.sys
2007-05-20 18:07 47,568 --a------ C:\WINNT\system32\drivers\sysaudio.sys
2007-05-20 18:07 148,304 --a------ C:\WINNT\system32\drivers\kmixer.sys
2007-05-20 18:06 9,808 --a------ C:\WINNT\system32\drivers\gameenum.sys
2007-05-20 18:06 42,000 --a------ C:\WINNT\system32\drivers\stream.sys
2007-05-20 18:06 4,880 --a------ C:\WINNT\system32\ksuser.dll
2007-05-20 18:06 148,208 --a------ C:\WINNT\system32\drivers\portcls.sys
2007-05-20 18:06 113,744 --a------ C:\WINNT\system32\drivers\ks.sys
2007-05-20 18:05 331,184 --------- C:\WINNT\system32\difxapi.dll
2007-05-20 18:05 203,648 --a------ C:\WINNT\system32\drivers\vinyl97.sys
2007-05-20 18:05 <DIR> d-------- C:\Programme\VIA
2007-05-20 17:32 <DIR> d-------- C:\Programme\Lavalys
2007-05-17 15:33 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_fc.dat
2007-05-17 15:31 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Apple Computer
2007-05-14 06:14 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\OpenOffice.org2
2007-05-13 16:56 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\ScanSoft
2007-05-13 16:14 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Canon
2007-05-13 16:12 411 --a------ C:\WINNT\system32\xscan32.dat
2007-05-11 17:23 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\DivX
2007-05-09 18:38 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_394.dat
2007-05-08 19:03 843,776 --ah----- C:\DOKUME~1\BRA489~1.BR\NTUSER.DAT
2007-05-08 19:03 <DIR> dr------- C:\DOKUME~1\BRA489~1.BR\Favoriten
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Vorlagen
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Netzwerkumgebung
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Lokale Einstellungen
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Druckumgebung
2007-05-08 19:03 <DIR> d--h----- C:\DOKUME~1\BRA489~1.BR\Anwendungsdaten
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\Startmen
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\Eigene Dateien
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\Real
2007-05-08 19:03 <DIR> d-------- C:\DOKUME~1\BRA489~1.BR\ANWEND~1\AOL
2007-05-08 18:41 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\ANWEND~1\AOL
2007-05-08 18:40 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\ANWEND~1\Real
2007-05-08 18:39 249,856 --ah----- C:\DOKUME~1\ADMINI~1.BR\NTUSER.DAT
2007-05-08 18:39 <DIR> dr------- C:\DOKUME~1\ADMINI~1.BR\Favoriten
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Vorlagen
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Netzwerkumgebung
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Lokale Einstellungen
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Druckumgebung
2007-05-08 18:39 <DIR> d--h----- C:\DOKUME~1\ADMINI~1.BR\Anwendungsdaten
2007-05-08 18:39 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\Startmen
2007-05-08 18:39 <DIR> d-------- C:\DOKUME~1\ADMINI~1.BR\Eigene Dateien
2007-05-08 18:30 <DIR> d-------- C:\WINNT\StartHtmico


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-23 20:41:06 -------- d-----w C:\Programme\AntiVir PersonalEdition Premium
2007-06-18 11:58:53 -------- d-----w C:\Programme\OpenOffice.org 2.2
2007-06-16 19:01:45 -------- d-----w C:\Programme\DivX
2007-06-08 15:19:13 -------- d-----w C:\Programme\ICQLite
2007-06-06 07:46:36 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-06 07:42:28 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-05-27 16:10:18 -------- d---a-w C:\Programme\AOL 9.0
2007-05-26 14:37:51 -------- d---a-w C:\Programme\Gemeinsame Dateien\aol
2007-05-13 14:10:19 -------- d-----w C:\Programme\Canon
2007-05-04 18:23:16 -------- d---a-w C:\Programme\Gemeinsame Dateien\aolshare
2007-05-04 18:22:50 -------- d-----w C:\Programme\Learn2.com
2007-05-04 18:22:42 -------- d-----w C:\Programme\Viewpoint
2007-05-04 18:22:25 -------- d-----w C:\Programme\Gemeinsame Dateien\Nullsoft
2007-05-04 18:20:33 335 ----a-w C:\WINNT\nsreg.dat
2007-05-04 18:15:05 -------- d---a-w C:\Programme\Gemeinsame Dateien\Dienste
2007-05-03 14:12:42 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_2f8.dat
2007-05-02 18:04:14 118,520 ------w C:\WINNT\system32\pxinsi64.exe
2007-05-02 18:04:14 116,472 ------w C:\WINNT\system32\pxcpyi64.exe
2007-04-29 08:56:16 -------- d-----w C:\Programme\IrfanView
2007-04-27 17:18:40 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_2ec.dat
2007-04-26 09:40:53 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_304.dat
2007-04-26 09:38:22 16,384 ----atw C:\WINNT\system32\Perflib_Perfdata_4a8.dat
2007-04-26 08:30:04 -------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-04-26 08:28:11 -------- d-----w C:\Programme\ScanSoft
2007-04-26 07:31:27 -------- d-----w C:\Programme\QuickTime
2007-04-26 07:30:19 -------- d-----w C:\Programme\Apple Software Update
2007-04-26 07:29:29 -------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-04-26 07:29:19 -------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-04-26 07:28:21 -------- d-----w C:\Programme\Real
2007-04-26 07:21:10 -------- d-----w C:\Programme\Mediapiraten
2007-04-26 07:18:18 -------- d-----w C:\Programme\Winamp
2007-04-26 07:12:35 1,140 ----a-w C:\WINNT\mozver.dat
2007-04-25 19:56:13 -------- d---a-w C:\Programme\Windows NT
2007-04-25 19:12:06 -------- d---a-w C:\Programme\avmwlanstick
2007-04-25 18:49:47 0 ---h--w C:\CONFIG.SYS
2007-04-25 18:49:47 0 ---h--w C:\AUTOEXEC.BAT
2007-04-25 18:48:21 46,232 ----a-w C:\WINNT\system32\perfc007.dat
2007-04-25 18:48:21 289,156 ----a-w C:\WINNT\system32\perfh007.dat
2007-04-25 18:46:09 15,076 ----a-w C:\WINNT\system32\emptyregdb.dat
2007-04-25 17:28:10 -------- d---a-w C:\Programme\FRITZ!Box
2007-04-25 16:15:13 -------- d--ha-w C:\Programme\WindowsUpdate
2007-04-25 16:07:20 -------- d---a-w C:\Programme\Zubehör
2007-04-25 15:46:51 -------- d---a-w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-25 15:41:54 -------- d---a-w C:\Programme\Alice
2007-04-25 15:41:52 -------- d---a-w C:\Programme\Gemeinsame Dateien\Alice
2007-04-25 15:15:46 -------- d---a-w C:\Programme\microsoft frontpage
2007-04-25 15:14:30 0 --sha-r C:\MSDOS.SYS
2007-04-25 15:14:30 0 --sha-r C:\IO.SYS
2007-04-25 07:52:16 147,216 ----a-w C:\WINNT\system32\SCHANNEL.DLL
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINNT\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINNT\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINNT\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINNT\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINNT\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINNT\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINNT\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINNT\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINNT\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINNT\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINNT\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINNT\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINNT\system32\DivXCodecUpdateChecker.exe
2007-04-16 20:47:36 33,624 ----a-w C:\WINNT\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINNT\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINNT\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINNT\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINNT\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINNT\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINNT\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINNT\system32\wups2.dll
2007-04-16 12:43:58 54,032 ----a-w C:\WINNT\system32\mpr.dll
2007-04-05 07:17:30 2,854,400 ----a-w C:\WINNT\system32\msi.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [22.10.06 23:08 ]
{1536BA74-8625-4240-99B0-BE65883689C8}=C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll [08.11.06 14:49 ]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [14.03.07 03:43 ]
{A1770FD6-A7CB-44DA-AD2C-692D2A2B521B}=C:\WINNT\vpsnetwork.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 C:\WINNT\system32\mobsync.exe]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [13.05.05 02:00 ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" [02.04.07 10:35 ]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe" [17.11.06 15:16 ]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [14.03.07 03:43 ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [26.04.07 09:28 ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [16.02.07 10:54 ]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [24.06.07 14:59 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINNT\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [30.05.07 14:29 ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{26CE498D-B9D2-4376-A3F7-3B9A8B1BF3F4}"="C:\WINNT\vpssup.dll" []
"{F13928CC-BCD3-46AA-BE82-1F68AF2F5685}"="C:\WINNT\expro.dll" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

*Newly Created Service* - AVGASCLN
*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS

Contents of the 'Scheduled Tasks' folder
2007-04-26 07:30:22 C:\WINNT\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-24 19:04:05
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 24.06.2007 19:05:24
C:\ComboFix-quarantined-files.txt ... 24.06.07 19:04
C:\ComboFix2.txt ... 24.06.07 18:28
C:\ComboFix3.txt ... 24.06.07 13:43

--- E O F ---


und HJ

Logfile of HijackThis v1.99.1
Scan saved at 19:13:37, on 24.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\Dokumente und Einstellungen\Bär.BÄR\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MSVPS System - {A1770FD6-A7CB-44DA-AD2C-692D2A2B521B} - C:\WINNT\vpsnetwork.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1180190203\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177570006607
O21 - SSODL: vpssup - {26CE498D-B9D2-4376-A3F7-3B9A8B1BF3F4} - C:\WINNT\vpssup.dll (file missing)
O21 - SSODL: expro - {F13928CC-BCD3-46AA-BE82-1F68AF2F5685} - C:\WINNT\expro.dll (file missing)
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


vielen dank, scheint nicht mehr zu nerven das bug, oder?
Seitenanfang Seitenende
24.06.2007, 19:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <Entfernt>
O2 - BHO: MSVPS System - {A1770FD6-A7CB-44DA-AD2C-692D2A2B521B} - C:\WINNT\vpsnetwork.dll (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O21 - SSODL: vpssup - {26CE498D-B9D2-4376-A3F7-3B9A8B1BF3F4} - C:\WINNT\vpssup.dll (file missing)
O21 - SSODL: expro - {F13928CC-BCD3-46AA-BE82-1F68AF2F5685} - C:\WINNT\expro.dll (file missing)

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Loeschen und Papierkorb leeren
C:\Qoobox

Und Berichte
__________
MfG Argus
Dieser Beitrag wurde am 25.06.2007 um 13:26 Uhr von Arnold editiert.
Seitenanfang Seitenende
30.06.2007, 10:49
...neu hier

Beiträge: 3
#7 Hallo! ich hab mir hier schon einiges durchgelesen, aber da ich doch mehr ein laie am pc bin, möchte ich doch lieber einmal fragen ob ihr mir helfen könnt!
auch bei mir sagt der drive-cleaner dass ich auf sex-seiten gewesen sei, er öffnet browser fenster von selbst und das ganze ist sehr, sehr nervig.
hier ist mal ein hijackthis-logfile, ich hoffe ihr könnt mir helfen!

Logfile of HijackThis v1.99.1
Scan saved at 10:43:25, on 30.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvnun.dll,startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\xxpgokls.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180949809734
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

ich danke schon jetzt einmal!
Seitenanfang Seitenende
30.06.2007, 11:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Download VirtumundoBeGone zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick auf VirtumundoBeGone.exe und folge den Hinweisen.
Erschrecke nicht wenn man ein blaues Bildschirm mit eine Warnung bekommt
Das ist normal
Wenn der Fix fertig ist,starte dein Rechner neu(reboot) nach normal Modus
Kopiere den Inhalt des Berichts “VBG.txt” der jetzt auf dein Desktop steht in diesen Thread

In normal Modus
Download: RemoveVideoActiveXObject by Smeenk,zum Desktop
Danach dopplelklicken
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken
Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht
zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
01.07.2007, 12:37
...neu hier

Beiträge: 3
#9 vielen dank für die schnelle hilfe!
ich weiß nicht ob alles geklappt hat, bis jetzt scheint alles wieder normal zu sein!
hier ist der bericht:


[07/01/2007, 12:34:14] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Tobias\Desktop\VirtumundoBeGone.exe" )
[07/01/2007, 12:34:20] - Detected System Information:
[07/01/2007, 12:34:20] - Windows Version: 5.1.2600, Service Pack 2
[07/01/2007, 12:34:20] - Current Username: Tobias (Admin)
[07/01/2007, 12:34:20] - Windows is in SAFE mode with Networking.
[07/01/2007, 12:34:20] - Searching for Browser Helper Objects:
[07/01/2007, 12:34:20] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[07/01/2007, 12:34:20] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/01/2007, 12:34:20] - BHO 3: {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} ()
[07/01/2007, 12:34:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:20] - Checking for HKLM\...\Winlogon\Notify\puewoluj
[07/01/2007, 12:34:20] - Key not found: HKLM\...\Winlogon\Notify\puewoluj, continuing.
[07/01/2007, 12:34:20] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/01/2007, 12:34:20] - BHO 5: {A6807262-1D7A-44AB-947B-23B71E97915C} ()
[07/01/2007, 12:34:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:20] - Checking for HKLM\...\Winlogon\Notify\fccayax
[07/01/2007, 12:34:20] - Found: HKLM\...\Winlogon\Notify\fccayax - This is probably Virtumundo.
[07/01/2007, 12:34:20] - Assigning {A6807262-1D7A-44AB-947B-23B71E97915C} MSEvents Object
[07/01/2007, 12:34:20] - BHO list has been changed! Starting over...
[07/01/2007, 12:34:20] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[07/01/2007, 12:34:20] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/01/2007, 12:34:20] - BHO 3: {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} ()
[07/01/2007, 12:34:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:20] - Checking for HKLM\...\Winlogon\Notify\puewoluj
[07/01/2007, 12:34:20] - Key not found: HKLM\...\Winlogon\Notify\puewoluj, continuing.
[07/01/2007, 12:34:20] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/01/2007, 12:34:20] - BHO 5: {A6807262-1D7A-44AB-947B-23B71E97915C} (MSEvents Object)
[07/01/2007, 12:34:20] - ALERT: Found MSEvents Object!
[07/01/2007, 12:34:20] - BHO 6: {A9A3E189-98E9-45D4-99C9-3FEFF5A36B46} ()
[07/01/2007, 12:34:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:20] - Checking for HKLM\...\Winlogon\Notify\ddayv
[07/01/2007, 12:34:20] - Found: HKLM\...\Winlogon\Notify\ddayv - This is probably Virtumundo.
[07/01/2007, 12:34:20] - Assigning {A9A3E189-98E9-45D4-99C9-3FEFF5A36B46} MSEvents Object
[07/01/2007, 12:34:20] - BHO list has been changed! Starting over...
[07/01/2007, 12:34:20] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[07/01/2007, 12:34:20] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/01/2007, 12:34:20] - BHO 3: {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} ()
[07/01/2007, 12:34:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:20] - Checking for HKLM\...\Winlogon\Notify\puewoluj
[07/01/2007, 12:34:20] - Key not found: HKLM\...\Winlogon\Notify\puewoluj, continuing.
[07/01/2007, 12:34:20] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/01/2007, 12:34:20] - BHO 5: {A6807262-1D7A-44AB-947B-23B71E97915C} (MSEvents Object)
[07/01/2007, 12:34:20] - ALERT: Found MSEvents Object!
[07/01/2007, 12:34:20] - BHO 6: {A9A3E189-98E9-45D4-99C9-3FEFF5A36B46} (MSEvents Object)
[07/01/2007, 12:34:20] - ALERT: Found MSEvents Object!
[07/01/2007, 12:34:20] - Finished Searching Browser Helper Objects
[07/01/2007, 12:34:20] - *** Detected MSEvents Object
[07/01/2007, 12:34:20] - Trying to remove MSEvents Object...
[07/01/2007, 12:34:21] - Terminating Process: IEXPLORE.EXE
[07/01/2007, 12:34:21] - Terminating Process: RUNDLL32.EXE
[07/01/2007, 12:34:21] - Disabling Automatic Shell Restart
[07/01/2007, 12:34:21] - Terminating Process: EXPLORER.EXE
[07/01/2007, 12:34:21] - Suspending the NT Session Manager System Service
[07/01/2007, 12:34:22] - Terminating Windows NT Logon/Logoff Manager
[07/01/2007, 12:34:22] - Re-enabling Automatic Shell Restart
[07/01/2007, 12:34:22] - File to disable: C:\WINDOWS\system32\fccayax.dll
[07/01/2007, 12:34:22] - Renaming C:\WINDOWS\system32\fccayax.dll -> C:\WINDOWS\system32\fccayax.dll.vir
[07/01/2007, 12:34:22] - File successfully renamed!
[07/01/2007, 12:34:22] - Removing HKLM\...\Browser Helper Objects\{A6807262-1D7A-44AB-947B-23B71E97915C}
[07/01/2007, 12:34:22] - Removing HKCR\CLSID\{A6807262-1D7A-44AB-947B-23B71E97915C}
[07/01/2007, 12:34:22] - Adding Kill Bit for ActiveX for GUID: {A6807262-1D7A-44AB-947B-23B71E97915C}
[07/01/2007, 12:34:22] - Deleting ATLEvents/MSEvents Registry entries
[07/01/2007, 12:34:22] - Removing HKLM\...\Winlogon\Notify\fccayax
[07/01/2007, 12:34:22] - Searching for Browser Helper Objects:
[07/01/2007, 12:34:22] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[07/01/2007, 12:34:22] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/01/2007, 12:34:22] - BHO 3: {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} ()
[07/01/2007, 12:34:22] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:22] - Checking for HKLM\...\Winlogon\Notify\puewoluj
[07/01/2007, 12:34:22] - Key not found: HKLM\...\Winlogon\Notify\puewoluj, continuing.
[07/01/2007, 12:34:22] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/01/2007, 12:34:22] - BHO 5: {A9A3E189-98E9-45D4-99C9-3FEFF5A36B46} (MSEvents Object)
[07/01/2007, 12:34:22] - ALERT: Found MSEvents Object!
[07/01/2007, 12:34:22] - Finished Searching Browser Helper Objects
[07/01/2007, 12:34:22] - *** Detected MSEvents Object
[07/01/2007, 12:34:22] - Trying to remove MSEvents Object...
[07/01/2007, 12:34:23] - Terminating Process: IEXPLORE.EXE
[07/01/2007, 12:34:23] - Terminating Process: RUNDLL32.EXE
[07/01/2007, 12:34:23] - Disabling Automatic Shell Restart
[07/01/2007, 12:34:23] - Terminating Process: EXPLORER.EXE
[07/01/2007, 12:34:23] - Suspending the NT Session Manager System Service
[07/01/2007, 12:34:23] - Terminating Windows NT Logon/Logoff Manager
[07/01/2007, 12:34:23] - Re-enabling Automatic Shell Restart
[07/01/2007, 12:34:23] - File to disable: C:\WINDOWS\system32\ddayv.dll
[07/01/2007, 12:34:23] - Renaming C:\WINDOWS\system32\ddayv.dll -> C:\WINDOWS\system32\ddayv.dll.vir
[07/01/2007, 12:34:23] - File successfully renamed!
[07/01/2007, 12:34:23] - Removing HKLM\...\Browser Helper Objects\{A9A3E189-98E9-45D4-99C9-3FEFF5A36B46}
[07/01/2007, 12:34:23] - Removing HKCR\CLSID\{A9A3E189-98E9-45D4-99C9-3FEFF5A36B46}
[07/01/2007, 12:34:23] - Adding Kill Bit for ActiveX for GUID: {A9A3E189-98E9-45D4-99C9-3FEFF5A36B46}
[07/01/2007, 12:34:23] - Deleting ATLEvents/MSEvents Registry entries
[07/01/2007, 12:34:23] - Removing HKLM\...\Winlogon\Notify\ddayv
[07/01/2007, 12:34:23] - Searching for Browser Helper Objects:
[07/01/2007, 12:34:23] - BHO 1: {055FD26D-3A88-4e15-963D-DC8493744B1D} (XTTBPos00 Class)
[07/01/2007, 12:34:23] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[07/01/2007, 12:34:23] - BHO 3: {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} ()
[07/01/2007, 12:34:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/01/2007, 12:34:23] - Checking for HKLM\...\Winlogon\Notify\puewoluj
[07/01/2007, 12:34:23] - Key not found: HKLM\...\Winlogon\Notify\puewoluj, continuing.
[07/01/2007, 12:34:23] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/01/2007, 12:34:23] - Finished Searching Browser Helper Objects
[07/01/2007, 12:34:23] - Finishing up...
[07/01/2007, 12:34:23] - A restart is needed.
[07/01/2007, 12:34:35] - Attempting to Restart via STOP error (Blue Screen!)
Seitenanfang Seitenende
02.07.2007, 17:01
...neu hier

Beiträge: 6
#10 Hallo zusammen, wie ich feststellen muss scheine nicht nur ich ein Problem mit diesen Dingen zu haben. Bitte helft auch mir weiter wie ihr es bei den anderen beiden gemacht habt. Habe das selbe Problem wie auch meine Kollegen und bastle schon den ganzen Tag rum es zu beheben - hab sowohl den Weg von Eric probiert, als auch den von dearthair - aber es scheint nicht zu funzen...

Danke schon mal im Voraus für eure Hilfe

Anbei das HijackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 16:50:11, on 02.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\QKeys\QKeys.EXE
C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\TV Card\TVRMVCR.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomyxxxx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSVPS System - {49CF52D7-8D58-4E22-A874-AAD721F5B523} - C:\WINDOWS\ddesupport.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Controller.lnk = C:\Programme\TV Card\TVRMVCR.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O21 - SSODL: msole - {9C8C6EE2-69CF-4085-A28E-F0F6F0B2E13A} - C:\WINDOWS\msole.dll
O21 - SSODL: msdde - {48CFA271-A3CC-45CB-88CA-7B338842885F} - C:\WINDOWS\msdde.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

und der ComboFix Log

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
"Daniel" - 2007-07-02 17:04:48 - Service Pack 1 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))


2007-07-02 17:01 <DIR> d-------- C:\WINDOWS\privacy_danger
2007-07-02 16:34 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 16:24 36,122 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-07-02 16:24 <DIR> d-------- C:\WINDOWS\system32\RVAXO
2007-07-02 14:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-02 14:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-07-02 14:30 <DIR> d-------- C:\Programme\Yahoo!
2007-07-02 14:30 <DIR> d-------- C:\Programme\CCleaner
2007-07-02 12:51 81,920 --a------ C:\WINDOWS\msdde.dll
2007-07-02 12:51 66,560 --a------ C:\WINDOWS\msole.dll
2007-06-30 10:33 29,696 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2007-06-30 10:33 12,032 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2007-06-30 10:33 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-06-30 10:32 <DIR> d-------- C:\Programme\Navigation


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2009-05-31 14:24:29 -------- d--h--w C:\Programme\WindowsUpdate
2009-05-31 13:50:36 -------- d-----w C:\Programme\Norton Personal Firewall
2007-07-02 14:57:52 -------- d-----w C:\Programme\TV Card
2007-07-02 14:45:06 48,360 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-02 14:45:06 316,924 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-02 14:43:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-07-02 10:53:44 -------- d-----w C:\Programme\ICQToolbar
2007-06-30 08:33:21 -------- d-----w C:\Programme\Microsoft ActiveSync
2007-06-22 12:17:49 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Skype


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 10:28]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 12:02]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 03:23]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-09-21 06:04 C:\WINDOWS\system32\nwiz.exe]
"QKeys"="C:\Programme\QKeys\QKeys.EXE" [2002-09-09 04:14]
"VOBID"="C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe" [2003-03-31 17:59]
"iKeyWorks"="C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe" [2002-11-22 19:22]
"WheelMouse"="C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe" [2002-11-22 20:27]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 21:56]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2003-10-09 11:26]
"ccRegVfy"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" [2003-10-09 11:27]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-18 17:36]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-02 09:34 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 12:59]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec Network Driver Update Warning"=C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe
"ALUAlert"=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"="C:\PROGRA~1\DVDREG~1\DVDShell.dll" [2003-01-29 15:58]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{B6644221-B902-440D-BCB6-AD882DEA5E4A}"="C:\WINDOWS\msdde.dll" [2007-07-01 22:14]
"{11C6C050-4448-4A56-9458-5144DB0A5001}"="C:\WINDOWS\msole.dll" [2007-07-01 22:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTServ]
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TVSCHL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TVSCHL.lnk
backup=C:\WINDOWS\pss\TVSCHL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Programme\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IW ControlCenter]
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
KHALMNPR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT

Contents of the 'Scheduled Tasks' folder
2007-07-02 15:06:00 C:\WINDOWS\tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 17:06:06
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

? [3668]


scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-02 17:06:39
C:\ComboFix-quarantined-files.txt ... 2007-07-02 17:06
C:\ComboFix2.txt ... 2007-07-02 16:43

--- E O F ---

MfG
Da Dan
Dieser Beitrag wurde am 02.07.2007 um 17:09 Uhr von Da Dan editiert.
Seitenanfang Seitenende
02.07.2007, 17:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Von wo hast du ComboFix runter geladen ist ja eine alte Version
Entferne ComboFix
Und download die letzte version http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Und das log von RemoveVideoActiveXObject
__________
MfG Argus
Seitenanfang Seitenende
02.07.2007, 17:35
...neu hier

Beiträge: 6
#12 Super danke, geht ja ganz fix hier ;-)

"Daniel" - 2007-07-02 17:25:57 - ComboFix 07-06-27.7 - Service Pack 1 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Daniel\FAVORI~1.\Error Cleaner.url
C:\DOKUME~1\Daniel\FAVORI~1.\Privacy Protector.url
C:\DOKUME~1\Daniel\FAVORI~1.\Spyware&Malware Protection.url
C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt


((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))


2007-07-02 17:26 <DIR> d-------- C:\WINDOWS\privacy_danger
2007-07-02 17:15 36,122 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-07-02 17:15 <DIR> d-------- C:\WINDOWS\system32\RVAXO
2007-07-02 16:34 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 14:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-07-02 14:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-07-02 14:30 <DIR> d-------- C:\Programme\Yahoo!
2007-07-02 14:30 <DIR> d-------- C:\Programme\CCleaner
2007-07-02 12:51 81,920 --a------ C:\WINDOWS\msdde.dll
2007-07-02 12:51 66,560 --a------ C:\WINDOWS\msole.dll
2007-06-30 10:33 29,696 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2007-06-30 10:33 12,032 --------- C:\WINDOWS\system32\drivers\usb8023x.sys
2007-06-30 10:33 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-06-30 10:32 <DIR> d-------- C:\Programme\Navigation


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2009-05-31 14:24:29 -------- d--h--w C:\Programme\WindowsUpdate
2009-05-31 13:50:36 -------- d-----w C:\Programme\Norton Personal Firewall
2007-07-02 15:20:25 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-07-02 15:19:12 -------- d-----w C:\Programme\TV Card
2007-07-02 14:45:06 48,360 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-02 14:45:06 316,924 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-02 10:53:44 -------- d-----w C:\Programme\ICQToolbar
2007-06-30 08:33:21 -------- d-----w C:\Programme\Microsoft ActiveSync
2007-06-22 12:17:49 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Skype


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 10:28]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 12:02]
{49CF52D7-8D58-4E22-A874-AAD721F5B523}=C:\DOKUME~1\Daniel\Desktop\backups\BACKUP~1.DLL [2007-07-01 22:14]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 03:23]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-09-21 06:04 C:\WINDOWS\system32\nwiz.exe]
"QKeys"="C:\Programme\QKeys\QKeys.EXE" [2002-09-09 04:14]
"VOBID"="C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe" [2003-03-31 17:59]
"iKeyWorks"="C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe" [2002-11-22 19:22]
"WheelMouse"="C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe" [2002-11-22 20:27]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 21:56]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2003-10-09 11:26]
"ccRegVfy"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" [2003-10-09 11:27]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-18 17:36]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-02 09:34 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 12:59]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec Network Driver Update Warning"=C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe
"ALUAlert"=C:\Programme\Symantec\LiveUpdate\ALUNotify.exe

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"="C:\PROGRA~1\DVDREG~1\DVDShell.dll" [2003-01-29 15:58]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 14:29]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"{B6644221-B902-440D-BCB6-AD882DEA5E4A}"="C:\WINDOWS\msdde.dll" [2007-07-01 22:14]
"{11C6C050-4448-4A56-9458-5144DB0A5001}"="C:\WINDOWS\msole.dll" [2007-07-01 22:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTServ]
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TVSCHL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TVSCHL.lnk
backup=C:\WINDOWS\pss\TVSCHL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Programme\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IW ControlCenter]
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
KHALMNPR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized


Contents of the 'Scheduled Tasks' folder
2007-07-02 15:26:00 C:\WINDOWS\tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 17:27:40
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-02 17:28:22
C:\ComboFix-quarantined-files.txt ... 2007-07-02 17:28
C:\ComboFix2.txt ... 2007-07-02 17:06
C:\ComboFix3.txt ... 2007-07-02 16:43

--- E O F ---


und das RVAXO


----------------RemoveVideoActiveXObject.exe first run-------------

Files found:


Uninstallers Rogue scanners:


Folders Found:

C:\WINDOWS\privacy_danger

--------------RemoveVideoActiveXObject.exe last run---------------

Files found:


Uninstallers Rogue scanners:


Folders Found:

C:\WINDOWS\privacy_danger


Hab unter Systemsteuerung\Software noch das Programm Ad-ware 6.0 gefunden - kann das auch Einfluss auf meinen Rechner haben? Glaub nicht dass ich das installiert habe...

MfG
Dieser Beitrag wurde am 02.07.2007 um 17:40 Uhr von Da Dan editiert.
Seitenanfang Seitenende
02.07.2007, 18:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Arbeite alles ab wie geschrieben,also von oben nach unten

1.
Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <Entfernt>
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = <Entfernt>
O2 - BHO: MSVPS System - {49CF52D7-8D58-4E22-A874-AAD721F5B523} - C:\WINDOWS\ddesupport.dll
O21 - SSODL: msole - {9C8C6EE2-69CF-4085-A28E-F0F6F0B2E13A} - C:\WINDOWS\msole.dll
O21 - SSODL: msdde - {48CFA271-A3CC-45CB-88CA-7B338842885F} - C:\WINDOWS\msdde.dll

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

2.
Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein Rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
Kopiere den Inhalt des Berichts in diesen Thread (C:\rapport.txt)

3.
Download: Fixwareout zum Desktop
Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten,folge den Hinweisen. Du wirst gefragt, den Rechner neu zustarten (reboot), mach das bitte. Dein System wird länger dazu brauchen als sonst, das ist normal. Wenn dein Rechner wieder aufgestartet ist, folge den Hinweisen.
Ein logfile wird sich oeffnen(report.txt)
Kopiere den Inhalt des Berichts “report.txt”in diesen Thread

4
Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
02.07.2007, 18:53
...neu hier

Beiträge: 6
#14 Hi Arnold, herzlichen Dank - hab das jetzt alles gemacht. Sieht recht anständig aus bis jetzt. Das einzige was mir noch auffällt ist im IExplorer die Favoriten "Error Cleaner" - "Privacy Protector" und "Spyware&Malware Protection" - werde diese jetzt aber löschen und den Papierkorb gleich mit.

Anbei die Logfiles

Rapport:
SmitFraudFix v2.197

Scan done at 18:37:31,59, 02.07.2007
Run from C:\Dokumente und Einstellungen\Daniel\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\msole.dll Deleted
C:\WINDOWS\msdde.dll Deleted
C:\WINDOWS\privacy_danger\ Deleted
C:\DOKUME~1\Daniel\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Daniel\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Daniel\Desktop\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EA130E27-DFB3-4FDF-ACCC-FA10CB5190A8}: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EA130E27-DFB3-4FDF-ACCC-FA10CB5190A8}: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EA130E27-DFB3-4FDF-ACCC-FA10CB5190A8}: DhcpNameServer=195.34.133.14 195.34.133.17
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.21 195.34.133.22
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.34.133.14 195.34.133.17


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Report:

Fixwareout Last edited 6/27/2007
Post this report in the forums please
...
»»»»»Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....
»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"nwiz"="nwiz.exe /install"
"QKeys"="C:\\Programme\\QKeys\\QKeys.EXE"
"VOBID"="C:\\Programme\\Pinnacle\\InstantCDDVD\\InstantDrive\\InstantDrive.exe /remount"
"iKeyWorks"="C:\\PROGRA~1\\HARDWA~1\\Keyboard\\Ikeymain.exe"
"WheelMouse"="C:\\PROGRA~1\\HARDWA~1\\Mouse\\Amoumain.exe"
"DeviceDiscovery"="C:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ccRegVfy"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccRegVfy.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 18:47:17, on 02.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\QKeys\QKeys.EXE
C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\TV Card\TVRMVCR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Controller.lnk = C:\Programme\TV Card\TVRMVCR.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

ich hab zwar keine Ahnung wie du da was rauslesen kannst, aber offensichtlich hat es geklappt.

Habe jetzt halt einen blauen Desktop - was aber nicht weiter schlimm ist

Bitte gib mir bescheid ob jetzt alles o.k. ist. Danke nochmals
Seitenanfang Seitenende
02.07.2007, 20:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 C:\Qoobox – loeschen und Papierkorb leeren
C:\RVAXO-results.log – loeschen und Papierkorb leeren

Benutze dein AVG Anti Spyware 7.5
updaten und scannen
Einstellungen
Scanner
Klicke:Einstellungen
Wie reagieren:Standardaktion für aufgespürte Malware einstellen
Wähle: “Quarantäne”

Berichte
Wähle:Automatisch nach jedem Scan,Bericht erstellen
Entferne bei:”Nur,wenn Bedrohungen gefunden wurden”das Häckchen

Klicke:Scan
Wähle:Kompletter System-Scan
Nach Ablauf der Scan “Alle Elemente setzen auf” Wähle Quarantäne
Nach Ablauf klicke:Alle Aktionen übernehmen

Und poste das log

Scanne mit DrWeb http://board.protecus.de/t29350.htm und poste das log
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: