Trojan.Vundo!!!

#1 Hi

Hab en Problem mit Trojan.Vundo!!!
Und zwar wenn Antivir startet bringt der mir alle 10 min oder so ne Meldung das er Trojan.Vundo entdeckt hat und blockiert, abees würd mich ja net stören aber des wirft mich aus de Spiele un allem raus ob man das irgenwie beseitigen könnte!!!!
wenn ja könntet ihtr mir helfen

MFG

Kalle

________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit

#2 Hi,

folgendes abarbeiten:
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

Danach bitte noch das hier:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

#3 Also erst mal danke Chris4You werds gleich versuchen

Log:
Logfile of HijackThis v1.99.1
Scan saved at 07:58:20, on 01.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Amic Games\WallpaperXe\WallpaperXe.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Englisch Übersetzer\iFinger.exe
C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Dokumente und Einstellungen\Zuber\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\PROGRA~1\ENGLIS~1\IFINGE~1.DLL
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Wallpaper XE] C:\Programme\Amic Games\WallpaperXe\WallpaperXe.exe -tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
O4 - Global Startup: iFinger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\mljjhgf.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe













so???
Combofix Log

ComboFix 07-07-30.2 - "Zuber" 2007-08-01 7:50:43.1 [GMT 2:00] - NTFS
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.Wahr
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Zuber\Desktop.\internet explorer.lnk
C:\WINDOWS\system32\nsq1BB.dll
C:\WINDOWS\system32\version69ie7fix.dll
C:\WINDOWS\wr.txt


((((((((((((((((((((((((( Files Created from 2007-07-01 to 2007-08-01 )))))))))))))))))))))))))))))))


2007-08-01 07:50 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-01 07:41 <DIR> d-------- C:\VundoFix Backups
2007-07-31 15:51 53,248 --a------ C:\WINDOWS\wtmdeinstall.exe
2007-07-30 17:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-07-30 16:42 <DIR> d-------- C:\Programme\Yahoo!
2007-07-28 20:26 <DIR> d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\Google
2007-07-28 12:54 <DIR> d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\ICQ
2007-07-27 22:27 101,376 --a------ C:\WINDOWS\system32\drivers\ACEDRV07.sys
2007-07-27 22:16 90,112 --a------ C:\WINDOWS\system32\Ik6Wmf.dll
2007-07-27 22:16 90,112 --a------ C:\WINDOWS\system32\Ik6Scan.dll
2007-07-27 22:16 81,920 --a------ C:\WINDOWS\system32\Ik6File.dll
2007-07-27 22:16 61,440 --a------ C:\WINDOWS\system32\Ik6Bmp.dll
2007-07-27 22:16 57,344 --a------ C:\WINDOWS\system32\Ik6Gif.dll
2007-07-27 22:16 53,248 --a------ C:\WINDOWS\system32\Ik6Pcx.dll
2007-07-27 22:16 323,624 --a------ C:\WINDOWS\system32\wiaaut.dll
2007-07-27 22:16 266,240 --a------ C:\WINDOWS\system32\CDTextReader.dll
2007-07-27 22:16 245,760 --a------ C:\WINDOWS\system32\Ik6Effect.dll
2007-07-27 22:16 200,704 --a------ C:\WINDOWS\system32\Ik6Tiff.dll
2007-07-27 22:16 200,704 --a------ C:\WINDOWS\system32\Ik6Png.dll
2007-07-27 22:16 184,320 --a------ C:\WINDOWS\system32\Ik6Com.dll
2007-07-27 22:16 163,840 --a------ C:\WINDOWS\system32\Ik6Jpeg.dll
2007-07-27 22:16 106,496 --a------ C:\WINDOWS\system32\Ik6Dxf.dll
2007-07-27 22:16 102,400 --a------ C:\WINDOWS\system32\Ik6Print.dll
2007-07-27 22:16 102,400 --a------ C:\WINDOWS\system32\Ik6Emf.dll
2007-07-27 14:07 33,511 --a------ C:\WINDOWS\system32\ninjaext-uninstall.exe
2007-07-27 10:07 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\Talkback
2007-07-27 10:07 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-07-27 10:05 0 --a------ C:\WINDOWS\nsreg.dat
2007-07-26 17:03 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-07-26 17:00 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\Google
2007-07-26 16:57 <DIR> d-------- C:\Programme\Norton Security Scan
2007-07-26 16:56 <DIR> d-------- C:\Programme\Google
2007-07-26 14:42 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2007-07-26 14:42 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2007-07-26 14:42 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2007-07-26 14:38 <DIR> d-------- C:\Sierra
2007-07-26 08:21 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\apm
2007-07-25 19:35 22,112 -ra------ C:\WINDOWS\system32\drivers\COH_Mon.sys
2007-07-24 15:20 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-07-24 14:53 43,520 --a------ C:\WINDOWS\delcdld.exe
2007-07-24 14:44 32,768 --a------ C:\WINDOWS\system32\Regtool5.dll
2007-07-24 14:44 22,528 --a------ C:\WINDOWS\system32\TABCTDE.DLL
2007-07-23 20:17 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2007-07-23 20:17 290,816 --------- C:\WINDOWS\Setup1.exe
2007-07-23 15:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\element5
2007-07-23 15:45 269,312 --a------ C:\WINDOWS\uninst.exe
2007-07-23 15:44 94,480 --a------ C:\WINDOWS\system32\msjro.dll
2007-07-23 15:44 77,824 --a------ C:\WINDOWS\system32\MSBIND.DLL
2007-07-23 15:44 6,656 --a------ C:\WINDOWS\system32\STDFTDE.DLL
2007-07-23 15:44 544,768 --a------ C:\WINDOWS\system32\htmlexpt.dll
2007-07-23 15:44 527,024 --a------ C:\WINDOWS\system32\tibase6.dll
2007-07-23 15:44 512,000 --a------ C:\WINDOWS\system32\plabels.dll
2007-07-23 15:44 396,288 --a------ C:\WINDOWS\system32\ltkrn12n.dll
2007-07-23 15:44 37,888 --a------ C:\WINDOWS\system32\lttwn12n.dll
2007-07-23 15:44 369,152 --a------ C:\WINDOWS\DBREG.dll
2007-07-23 15:44 36,864 --a------ C:\WINDOWS\system32\lfbmp12n.dll
2007-07-23 15:44 310,784 --a------ C:\WINDOWS\system32\LFCMP12n.DLL
2007-07-23 15:44 307,712 --a------ C:\WINDOWS\system32\ltdlg12n.dll
2007-07-23 15:44 270,336 --a------ C:\WINDOWS\system32\exclexpt.dll
2007-07-23 15:44 266,240 --a------ C:\WINDOWS\system32\LTDIS12n.dll
2007-07-23 15:44 262,144 --a------ C:\WINDOWS\system32\tiffexpt.dll
2007-07-23 15:44 26,112 --a------ C:\WINDOWS\system32\lfmsp12n.dll
2007-07-23 15:44 258,048 --a------ C:\WINDOWS\system32\pdfexpt.dll
2007-07-23 15:44 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2007-07-23 15:44 227,328 --a------ C:\WINDOWS\system32\ltefx12n.dll
2007-07-23 15:44 184,592 --a------ C:\WINDOWS\system32\msadox.dll
2007-07-23 15:44 172,304 --a------ C:\WINDOWS\system32\msadomd.dll
2007-07-23 15:44 163,328 --a------ C:\WINDOWS\system32\ltimg12n.dll
2007-07-23 15:44 143,360 --a------ C:\WINDOWS\system32\vbSendMail.dll
2007-07-23 15:44 133,296 --a------ C:\WINDOWS\system32\tishare6.dll
2007-07-23 15:44 131,072 --a------ C:\WINDOWS\system32\rtfexpt.dll
2007-07-23 15:44 131,072 --a------ C:\WINDOWS\DBReg.exe
2007-07-23 15:44 121,344 --a------ C:\WINDOWS\system32\ltfil12n.DLL
2007-07-23 15:44 110,592 --a------ C:\WINDOWS\system32\textexpt.dll
2007-07-23 15:44 1,621,504 --a------ C:\WINDOWS\system32\actrpt2.dll
2007-07-23 15:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Software FX Shared
2007-07-23 15:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Rechnungsdruckerei
2007-07-23 13:06 79,186 --a------ C:\WINDOWS\system32\adssite-remove.exe
2007-07-23 13:06 39,884 --a------ C:\WINDOWS\system32\gzmrot-uninst.exe
2007-07-22 20:31 <DIR> d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\Ahead
2007-07-22 20:22 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\Ahead
2007-07-22 20:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-07-22 20:19 <DIR> d-------- C:\Programme\Nero
2007-07-22 20:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-07-22 20:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
2007-07-22 20:17 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2007-07-22 13:43 <DIR> d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\Skype
2007-07-22 13:13 <DIR> d-------- C:\Buziol Games
2007-07-21 21:56 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\Help
2007-07-18 15:51 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\ICQ Toolbar
2007-07-18 15:50 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-07-18 15:50 <DIR> d-------- C:\Programme\ICQToolbar
2007-07-18 15:49 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\ICQ
2007-07-18 15:47 <DIR> d-------- C:\Programme\ICQ6
2007-07-18 15:47 <DIR> d-------- C:\DOKUME~1\Zuber\ANWEND~1\InstallShield
2007-07-16 19:39 <DIR> d-------- C:\Programme\mresreg
2007-07-13 16:46 61,440 --a------ C:\WINDOWS\system32\gzmrotate.dll
2007-07-06 19:54 <DIR> d-------- C:\DOKUME~1\CHRIST~1\ANWEND~1\ICQLite
2007-07-03 19:10 132,904 --a------ C:\WINDOWS\system32\drivers\imagesrv.sys
2007-07-03 19:10 11,304 --a------ C:\WINDOWS\system32\drivers\imagedrv.sys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-01 06:57 --------- d-------- C:\DOKUME~1\Zuber\ANWEND~1\Skype
2007-07-31 15:01 --------- d-------- C:\DOKUME~1\Zuber\ANWEND~1\FrostWire
2007-07-29 01:11 774 --a------ C:\WINDOWS\eReg.dat
2007-07-28 22:54 --------- d-------- C:\Programme\EA GAMES
2007-07-28 16:51 --------- d-------- C:\DOKUME~1\Zuber\ANWEND~1\U3
2007-07-27 22:16 --------- d-------- C:\Programme\DATA BECKER
2007-07-27 10:33 --------- d-------- C:\Programme\Downloadprogramme
2007-07-27 08:45 --------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-07-26 14:35 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-07-26 08:16 --------- d-------- C:\Programme\FrostWire
2007-07-21 21:58 --------- d-------- C:\Programme\Fifa Master
2007-07-11 20:57 74988 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-11 20:57 415124 --a------ C:\WINDOWS\system32\perfh007.dat
2007-06-27 19:05 972072 --a------ C:\WINDOWS\UNNeroMediaHome.exe
2007-06-26 14:12 972072 --a------ C:\WINDOWS\UNNeroVision.exe
2007-06-05 09:58 --------- d-------- C:\Programme\Sierra Imaging
2007-05-26 16:51 156816 --a------ C:\DOKUME~1\Zuber\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 09:18 95864 --a------ C:\WINDOWS\system32\NeroCo.dll
2007-05-02 20:04 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-05-02 20:04 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-05-02 20:04 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-05-02 20:04 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-05-02 20:04 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-05-02 20:04 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-05-02 20:04 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-05-02 20:02 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-05-02 20:02 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-05-02 20:02 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-05-02 20:02 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-05-02 20:02 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-05-02 20:02 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-05-02 20:02 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-05-02 20:02 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-05-02 20:01 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-05-02 20:01 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-05-02 20:01 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-05-02 20:01 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-05-02 04:33 124472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-05-02 04:33 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36A91CEC-6C71-4758-B492-397BFC8E96A2}]
2007-07-13 16:46 61440 --a------ C:\WINDOWS\system32\gzmrotate.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2006-09-05 19:22]
"Cmaudio"="cmicnfg.cpl" []
"SoundMan"="SOUNDMAN.EXE" [2002-11-19 22:01 C:\WINDOWS\SOUNDMAN.EXE]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 19:51]
"Wallpaper XE"="C:\Programme\Amic Games\WallpaperXe\WallpaperXe.exe" [2003-11-27 11:55]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"NBKeyScan"="C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-06-29 19:16]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-18 13:14]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-06-24 18:55]

C:\Dokumente und Einstellungen\Zuber\Startmen�\Programme\Autostart\
Camio Viewer.lnk - C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe [2007-06-05 09:58:21]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
iFinger.lnk - C:\Programme\Englisch šbersetzer\iFinger.exe [2007-04-18 15:24:45]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"RestrictRun"=0 (0x0)
"NoFileUrl"=0 (0x0)
"NoNetworkConnections"=0 (0x0)
"NoChangeStartMenu"=0 (0x0)
"NoSMHelp"=0 (0x0)
"NoCommonGroups"=0 (0x0)
"NoSaveSettings"=0 (0x0)
"NoViewContextMenu"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Hide]
"A"=0 (0x0)
"B"=0 (0x0)
"C"=0 (0x0)
"D"=0 (0x0)
"E"=0 (0x0)
"F"=0 (0x0)
"G"=0 (0x0)
"H"=0 (0x0)
"I"=0 (0x0)
"J"=0 (0x0)
"K"=0 (0x0)
"L"=0 (0x0)
"M"=0 (0x0)
"N"=0 (0x0)
"O"=0 (0x0)
"P"=0 (0x0)
"Q"=0 (0x0)
"R"=0 (0x0)
"S"=0 (0x0)
"T"=0 (0x0)
"U"=0 (0x0)
"V"=0 (0x0)
"W"=0 (0x0)
"X"=0 (0x0)
"Y"=0 (0x0)
"Z"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\RestrictRun]
"0"=wtmkernel.exe
"1"=wtmstatus.exe
"2"=wtmbrx.exe
"3"=winhelp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\mljjhgf.dll

R1 SRTSPX;SRTSPX;C:\WINDOWS\system32\Drivers\SRTSPX.SYS
R1 SSHDRV52;SSHDRV52;\??\C:\WINDOWS\system32\drivers\SSHDRV52.sys
R2 ACEDRV07;ACEDRV07;\??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R3 atinrvxx;ATI WDM Rage Theater Video (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\atinrvxx.sys
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber;C:\WINDOWS\system32\drivers\msmpu401.sys
R3 MVDCODEC;ATI WDM Specialized MVD Codec (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\atinmdxx.sys
R3 SRTSP;SRTSP;C:\WINDOWS\system32\Drivers\SRTSP.SYS
S3 cmuda;C-Media WDM Audio Interface;C:\WINDOWS\system32\drivers\cmuda.sys
S3 SRTSPL;SRTSPL;C:\WINDOWS\system32\Drivers\SRTSPL.SYS


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebdfc1fc-efef-11db-97a9-0020edb68d7c}]
AutoRun\command- F:\LaunchU3.exe -a


Contents of the 'Scheduled Tasks' folder
2007-07-22 08:14:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2007-07-13 18:03:39 C:\WINDOWS\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Zuber.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-01 07:54:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{839BA765-CC70-F075-8255-6C35C9280098}]
"iaopilggoachfoffof"=hex:65,61,62,6c,6f,6b,6f,70,68,6c,00,7f

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-01 7:55:50
C:\ComboFix-quarantined-files.txt ... 2007-08-01 07:55

--- E O F ---

kann rechner zwar zusammenbauen, aber in viren bin ich nicht so fit

MFG

Kalle

________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit

#4 Hi,


Prüfe online folgende File(s):

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\gzmrotate.dll

Falls es als "Bad" erkannt wird, bitte unter "Files to delete" aufnehmen und die entsprechenden Einträge mit HJ-fixen

Zitat

Unbekannt
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe
"C:\WINDOWS\system32\gzmrotate.dll" DllVerif

Ok, ich sehe gerade ist tatsächlich Adware, weg damit...

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|adstart

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
c:\windows\system32\mljjhgf.dll
C:\WINDOWS\system32\gzmrotate.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll
O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe
"C:\WINDOWS\system32\gzmrotate.dll" DllVerif

Scanne dann mit mit Cureit
Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Poste das Log von Avenger und Cureit und ein neues HJ-Log, nenne vorher die HJ-Exe auf tst.com um.

chris

#5 Hi,

Also werd ich machen, aber schon einmal danke Chris4You!!!
Falls es nicht klappt bzw ich es nicht hin bekomme meld ich mich nocheinmal

MFG

Kalle

Ergebnis von Virustotal
undefinedAntivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Prevx1 V2 2007.08.01 -
Rising 19.34.21.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -

weitere Informationen
File size: 8654 bytes
MD5: f041b1cd2fba3ed9ba610f9685395647
SHA1: 56f5c1f6354389bf2bd62a4c80b6895cf5a80247

2 Ergebnis von Virustotal
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 HEUR/Malware
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.07.31 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 Trj/Downloader.OFN
Rising 19.34.21.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Malware





Avenger Logfile:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\obdgurhv

*******************

Script file located at: \??\C:\Program Files\efxnaokd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\windows\system32\mljjhgf.dll not found!
Deletion of file c:\windows\system32\mljjhgf.dll failed!

Could not process line:
c:\windows\system32\mljjhgf.dll
Status: 0xc0000034

File C:\WINDOWS\system32\gzmrotate.dll deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|adstart deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


Was soll ich mit Curceit überprüfen???

________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit

#6 Hi,

"input script manually" anwählen, anschließend auf die Lupe.
Jetzt sollte sich ein Fenster öffnen, alles OHNE Zitat reinkopieren und
dann die Ampel anwählen....

Chris

#7 Hi,

das habe ich geschafft und er hats auch aktualisiert!!!
Und dann hat er mir ein Log ausgespuckt!!!
Mit dem ich aber nicht viel anfangen kann und mittlerweile habe ich mich bis zu Cureit durcharbeitet, da aber bleib ich hängen denn was soll der überprüfen, Festplatte,????

MFG

Kalle

und mit HJ gibts die Einträge von meiner Festplatte C:Windows... nicht, was dann?


________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die
Weltherrschaft der Dummheit

#8 Hi,

Festplatte komplett scannen...

Chris

#9 Hi,

ok mach ich


MFG

Kalle

Hab sie ´gescannt und die fehlerhaften Dateien gelöscht.
und nun???


________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die
Weltherrschaft der Dummheit

#10 Hi,

das Log (Cureit) wäre nicht schlecht gewesen.
Nochmal ein HJ-Log, nenne vorher die HJ-EXE auf test.com um.

chris

#11 Hi,

Cureit hat mir kein Log gegeben der hat mir nur Mitgeteilt das die Überprüfung abgebrochen wurde wegen eines Viruses oder so, und über was soll ich ein HJ Log erstellen?
und ich finde die exe datei nicht, um sie umzubenennen!!!

Kalle
________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die
Weltherrschaft der Dummheit

#12 Hi,

das hört sich nicht gut an;
Hast Du die genau Meldung von Cureit?

Lade HJ-noch mal neu runter und führe das beschriebene durch...

Erstellen eines Hijackthis-Logfiles

Download: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis.exe in HJT.com um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Chris

#13 Hi,

Also jetzt hat er keine mehr gefunden, aber ein Protokoll gibt es irgendwie nicht!

Kalle

________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die
Weltherrschaft der Dummheit

#14 Hi,

meinst Du HJ oder Cureit?

chris

#15 Hi,


ich mein Cureit

hier ist da HJ Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:41, on 04.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Amic Games\WallpaperXe\WallpaperXe.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Englisch Übersetzer\iFinger.exe
C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Zuber\Desktop\HiJackThis\HJT.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - C:\PROGRA~1\ENGLIS~1\IFINGE~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Wallpaper XE] C:\Programme\Amic Games\WallpaperXe\WallpaperXe.exe -tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
O4 - Global Startup: iFinger.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 7170 bytes


Kalle

________________________________________________________________
Der klügere gibt nach, eine traurige Wahrheit, sie begründet die
Weltherrschaft der Dummheit