Mal wieder falsche Links und Google Weiterleitungen

#0
30.08.2007, 10:01
...neu hier

Beiträge: 6
#1 Hallo !

Ich habe schon einige dieser Threads gelesen und hoffe dass ihr auch mir helfen könnt.
Auf dem betroffenen Rechner öffnen sich gelegentlich völlig falsche Seiten beim Internetsurfen und Google Links werden auch mit anderen Seiten geöffnet.

Hier die geforderten Logs:

ComboFix 07-08-09.3 - "itsupport" 2007-08-30 9:50:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1500 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-28 to 2007-08-30 )))))))))))))))))))))))))))))))


2007-08-30 09:50 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-28 19:06 <DIR> d-------- C:\Programme\DWG TrueView 2008
2007-08-06 11:04 <DIR> d-------- C:\Programme\SnagIt
2007-08-03 09:27 <DIR> d-------- C:\DOKUME~1\HS9CBE~1\SapWorkDir
2007-07-28 11:54 <DIR> d-------- C:\DOKUME~1\ITSUPP~1\SapWorkDir
2007-07-28 11:52 94,208 --a------ C:\WINDOWS\system32\libsapu16vc71.dll
2007-07-28 11:52 81,920 --a------ C:\WINDOWS\system32\nlsxdsgn.dll
2007-07-28 11:52 8,495,104 --a------ C:\WINDOWS\system32\icudt26l.dll
2007-07-28 11:52 8,224,768 --a------ C:\WINDOWS\system32\icudt20.dll
2007-07-28 11:52 606,208 --a------ C:\WINDOWS\system32\icuin26.dll
2007-07-28 11:52 602,112 --a------ C:\WINDOWS\system32\icuin20.dll
2007-07-28 11:52 56,832 --a------ C:\WINDOWS\system32\grfcxl32.dll
2007-07-28 11:52 528,384 --a------ C:\WINDOWS\system32\icuuc26.dll
2007-07-28 11:52 5,758,976 --a------ C:\WINDOWS\system32\librfc32u.dll
2007-07-28 11:52 348,160 --a------ C:\WINDOWS\system32\icuuc20.dll
2007-07-28 11:52 34,816 --a------ C:\WINDOWS\system32\grsapx32.dll
2007-07-28 11:52 3,203,072 --a------ C:\WINDOWS\system32\lcppn201.dll
2007-07-28 11:52 139,264 --a------ C:\WINDOWS\system32\nlsxrfc.dll
2007-07-28 11:52 1,146,880 --a------ C:\WINDOWS\system32\wdba.dll
2007-07-28 11:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ESRI
2007-07-28 11:51 721,168 --a------ C:\WINDOWS\system32\vb40032.dll
2007-07-28 11:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SAP Shared
2007-07-28 11:50 95,744 --a------ C:\WINDOWS\system32\h5rtf32.dll
2007-07-28 11:50 640,512 --a------ C:\WINDOWS\system32\oc30.dll
2007-07-28 11:50 57,431 --a------ C:\WINDOWS\system32\sapregsv.exe
2007-07-28 11:50 533,504 --a------ C:\WINDOWS\system32\vtssdl32.dll
2007-07-28 11:50 51,712 --a------ C:\WINDOWS\system32\ole2prox.dll
2007-07-28 11:50 51,200 --a------ C:\WINDOWS\system32\h5tool32.dll
2007-07-28 11:50 5,201,920 --a------ C:\WINDOWS\system32\librfc32.dll
2007-07-28 11:50 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-07-28 11:50 188,928 --a------ C:\WINDOWS\system32\h5icon32.dll
2007-07-28 11:50 175,616 --a------ C:\WINDOWS\system32\h5menu32.dll
2007-07-28 11:50 153,600 --a------ C:\WINDOWS\system32\tlbinf32.dll
2007-07-28 11:50 15,872 --a------ C:\WINDOWS\system32\vtssm32.dll
2007-07-28 11:50 114,688 --a------ C:\WINDOWS\system32\h5dlg32.dll
2007-07-28 11:50 1,597,440 --a------ C:\WINDOWS\system32\SAPbtmp.dll
2007-07-28 11:50 1,064,960 --a------ C:\WINDOWS\system32\h5krnl32.dll
2007-07-28 11:50 <DIR> d--h----- C:\WINDOWS\SAPwksta
2007-07-28 11:50 <DIR> d-------- C:\Programme\SAP
2007-07-18 18:39 <DIR> d-------- C:\DOKUME~1\HS9CBE~1\ANWEND~1\PTC
2007-07-13 14:38 <DIR> d-------- C:\Programme\ProENGINEER Tryout Edition
2007-07-05 13:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\NavisWorks 3


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-28 19:06 --------- d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-08-27 09:24 530206 --a------ C:\WINDOWS\system32\perfh007.dat
2007-08-27 09:24 114646 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-03 21:38 --------- d-------- C:\Programme\Gemeinsame Dateien\ECS Shared
2007-07-03 21:38 --------- d-------- C:\Programme\ECS
2007-06-26 16:39 671232 --a--c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:55 851968 --a--c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:08 1104896 --a--c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a--c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-15 10:13 96768 --a--c--- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-15 10:13 619008 --a--c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-15 10:13 55808 --a--c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-15 10:13 532480 --a--c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-15 10:13 474624 --a--c--- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-15 10:13 449024 --a--c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-15 10:13 39424 --a--c--- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-15 10:13 357888 --a--c--- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-15 10:13 3085312 --a--c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-15 10:13 251904 --a--c--- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-15 10:13 205824 --a--c--- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-15 10:13 16384 --a--c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-15 10:13 152064 --a--c--- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-15 10:13 1498112 --a--c--- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-15 10:13 146432 --a--c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-15 10:13 1056256 --a--c--- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-15 10:13 1022976 --a--c--- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 12:32 18432 --a--c--- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:10 1036288 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:10 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-11 23:51 10834944 --a--c--- C:\WINDOWS\system32\dllcache\wmp.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E875A5C0-52B1-4CB3-A148-6B1F4B5345C4}]
2007-03-26 10:38 36548 --a------ C:\WINDOWS\system32\nvshelld.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-21 09:09 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2006-03-09 15:29 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 15:29]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" [2005-12-16 04:18]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 14:00]
"PC Suite for Smartphones"="C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" [2006-07-06 15:34]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"FlashPlayerUpdate"=C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2006-06-01 23:18:37]
AutoCAD-Startbeschleuniger.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe [2006-06-03 18:38:27]
Service Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2006-06-01 20:31:49]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1133\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1133\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1133\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1134\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1134\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1134\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1145\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1145\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1145\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1146\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1146\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1146\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1173\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1173\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1173\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1194\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1194\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1194\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1214\Scripts\Logon\0\0]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapdrives.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1214\Scripts\Logon\0\1]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\OLprofile.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1476803661-1550762907-2262829457-1214\Scripts\Logon\0\2]
"Script"=\\hsenergie.local\SysVol\hsenergie.local\scripts\mapprinters.cmd

R1 NetworkX;NetworkX;C:\WINDOWS\system32\ckldrv.sys
R2 CdaC15BA;CdaC15BA;\??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
R2 MSSQL$REBIS;MSSQL$REBIS;C:\Programme\Microsoft SQL Server\MSSQL$REBIS\Binn\sqlservr.exe -sREBIS
R2 ntrtscan;Trend Micro Client-Server Security Agent Echtzeitsuche;C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
R2 TM_CFW;Common Firewall Driver;\??\C:\Programme\Trend Micro\Client Server Security Agent\tm_cfw.sys
R2 tmlisten;Trend Micro Client-Server Security Agent Listener;C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
R2 TmPreFilter;Trend Micro PreFilter;\??\C:\Programme\Trend Micro\Client Server Security Agent\TmPreFlt.sys
R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys
R3 zebrceb;Sony Ericsson Cable Emulation Bus (WDM);C:\WINDOWS\system32\DRIVERS\zebrceb.sys
S3 GPCIDrv;GPCIDrv;\??\C:\WINDOWS\GPCIDrv.sys
S3 GVCplDrv;GVCplDrv;C:\WINDOWS\system32\drivers\GVCplDrv.sys
S3 GVTDrv;GVTDrv;\??\C:\WINDOWS\system32\Drivers\GVTDrv.sys
S3 idsvc;Windows CardSpace;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
S3 SQLAgent$REBIS;SQLAgent$REBIS;C:\Programme\Microsoft SQL Server\MSSQL$REBIS\Binn\sqlagent.EXE -i REBIS
S3 zebrbus;Sony Ericsson Composite Device driver;C:\WINDOWS\system32\DRIVERS\zebrbus.sys
S3 zebrmdfl;Sony Ericsson Modem Filter;C:\WINDOWS\system32\DRIVERS\zebrmdfl.sys
S3 zebrmdm;Sony Ericsson Port (WDM);C:\WINDOWS\system32\DRIVERS\zebrmdm.sys
S3 zebrmdmc;Sony Ericsson mRouter Port (WDM);C:\WINDOWS\system32\DRIVERS\zebrmdmc.sys
S3 zebrsce;Sony Ericsson PC-Connect Port;C:\WINDOWS\system32\DRIVERS\zebrsce.sys
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-30 09:52:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000665

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-30 9:52:47

--- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57, on 2007-08-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$REBIS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GQ93DA.EXE
C:\Programme\Trend Micro\Client Server Security Agent\PCCNTMON.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
D:\hjt\HJT.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E875A5C0-52B1-4CB3-A148-6B1F4B5345C4} - C:\WINDOWS\system32\nvshelld.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart17.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148374711921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148374794687
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hsenergie.local
O17 - HKLM\Software\..\Telephony: DomainName = hsenergie.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hsenergie.local
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Autodesk Network Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskNetSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Trend Micro Client-Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Client-Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe

--
End of file - 7344 bytes




.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B472-60F2

Verzeichnis von C:\WINDOWS\system32

2007-08-30 09:44 50,239 nvapps.xml
2007-08-30 09:44 12,598 wpa.dbl
2007-08-28 19:11 328,296 FNTCACHE.DAT
2007-08-27 09:24 512,848 perfh009.dat
2007-08-27 09:24 101,820 perfc009.dat
2007-08-27 09:24 530,206 perfh007.dat
2007-08-27 09:24 114,646 perfc007.dat
2007-08-27 09:24 1,272,032 PerfStringBackup.INI
2007-08-03 06:34 16,789,464 MRT.exe
2007-07-24 11:15 20,648 acdb.err
2007-07-22 18:39 279,552 swreg.exe
2007-07-05 13:32 15,680 esnecil.ind
2007-06-26 16:39 671,232 wininet.dll
2007-06-26 08:08 1,104,896 msxml3.dll
2007-06-19 15:31 282,112 gdi32.dll
2007-06-15 10:13 1,498,112 shdocvw.dll
2007-06-15 10:13 474,624 shlwapi.dll
2007-06-15 10:13 39,424 pngfilt.dll
2007-06-15 10:13 619,008 urlmon.dll
2007-06-15 10:13 532,480 mstime.dll
2007-06-15 10:13 146,432 msrating.dll
2007-06-15 10:13 3,085,312 mshtml.dll
2007-06-15 10:13 449,024 mshtmled.dll
2007-06-15 10:13 251,904 iepeers.dll
2007-06-15 10:13 16,384 jsproxy.dll
2007-06-15 10:13 1,022,976 browseui.dll
2007-06-15 10:13 55,808 extmgr.dll
2007-06-15 10:13 96,768 inseng.dll
2007-06-15 10:13 152,064 cdfview.dll
2007-06-15 10:13 1,056,256 danim.dll
2007-06-15 10:13 205,824 dxtrans.dll
2007-06-15 10:13 357,888 dxtmsft.dll
2007-06-14 03:56 373,760 xpsp3res.dll
2007-06-11 23:51 10,834,944 wmp.dll
2007-05-17 13:28 549,376 oleaut32.dll
2007-05-16 17:11 683,520 inetcomm.dll
2007-05-15 15:43 1,320,800 msxml6.dll
2007-05-08 15:03 1,275,392 msxml4.dll

2364 Datei(en) 551,023,058 Bytes
0 Verzeichnis(se), 12,357,480,448 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B472-60F2

Verzeichnis von C:\DOKUME~1\ITSUPP~1\LOKALE~1\Temp

2007-08-30 09:58 115,998 datfind.txt
1 Datei(en) 115,998 Bytes
0 Verzeichnis(se), 12,357,492,736 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B472-60F2

Verzeichnis von C:\WINDOWS

2007-08-30 09:45 1,899,254 WindowsUpdate.log
2007-08-30 09:45 685,771 setupapi.log
2007-08-30 09:44 0 0.log
2007-08-30 09:44 157 wiadebug.log
2007-08-30 09:44 50 wiaservc.log
2007-08-30 09:44 2,048 bootstat.dat
2007-08-29 16:04 31,132 SchedLgU.Txt
2007-08-28 19:05 19,395 dasetup.log
2007-08-28 19:05 79,284 DirectX.log
2007-08-24 23:08 5,456 spupdsvc.log
2007-08-24 23:04 675 win.ini
2007-08-24 23:03 1,879 imsins.log
2007-08-24 23:03 54,579 ocmsn.log
2007-08-24 23:03 1,103,050 iis6.log
2007-08-24 23:03 204,464 ntdtcsetup.log
2007-08-24 23:03 457,681 tsoc.log
2007-08-24 23:03 340,381 comsetup.log
2007-08-24 23:03 50,432 tabletoc.log
2007-08-24 23:03 12,651 KB936021.log
2007-08-24 23:03 475,460 ocgen.log
2007-08-24 23:03 173,904 netfxocm.log
2007-08-24 23:03 68,648 MedCtrOC.log
2007-08-24 23:03 49,693 msgsocm.log
2007-08-24 23:03 988,404 FaxSetup.log
2007-08-24 23:03 308,104 msmqinst.log
2007-08-24 23:03 65,458 updspapi.log
2007-08-24 23:03 1,879 imsins.BAK
2007-08-24 23:03 12,148 KB938828.log
2007-08-24 23:02 11,884 KB921503.log
2007-08-24 23:02 11,684 KB938829.log
2007-08-24 23:02 510,910 msxml6-KB933579-enu-x86.LOG
2007-08-24 23:01 11,075 KB938127.log
2007-08-24 23:01 20,272 KB937143.log
2007-08-24 23:01 284,322 msxml4-KB936181-enu.LOG
2007-08-24 23:01 8,730 KB936782.log
2007-08-24 23:01 49,009 wmsetup.log
2007-08-03 09:27 669 saplogon.ini
2007-07-28 11:54 1,670,250 sapsetup.log
2007-07-28 11:52 65 vbaddin.ini
2007-07-27 17:44 18,022 rebistagtree.ini
2007-07-20 00:47 109,056 catchme.exe
2007-07-18 19:05 527,066 trail.txt.1
2007-07-14 12:59 10,223 KB936357.log
2007-07-06 16:23 7,669 cfgall.ini
2007-07-03 21:43 1,309 ODBC.INI
2007-06-25 12:09 1,565 IE4 Error Log.txt
2007-06-25 08:43 22,460 KB933566.log
2007-06-25 08:42 9,031 KB929123.log
2007-06-25 08:42 8,346 KB935840.log
2007-06-25 08:41 8,357 KB935839.log
2007-06-17 00:11 51,200 nircmd.exe
2007-06-13 15:10 1,036,288 explorer.exe
2007-06-03 23:01 9,005 KB927891.log
2007-05-24 17:04 69 NeroDigital.ini
2007-05-24 08:37 1,240 TMFilter.log
2007-05-15 23:24 124 APLANT.INI
2007-05-15 23:10 4,335 ODBCINST.INI
2007-05-15 23:00 3,724 dahotfix.log
2007-05-11 22:45 19,340 KB931768.log
2007-05-11 22:44 7,930 KB930916.log

216 Datei(en) 49,412,061 Bytes
0 Verzeichnis(se), 12,357,480,448 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B472-60F2

Verzeichnis von C:\WINDOWS\temp

2007-08-30 09:44 16,384 Perflib_Perfdata_744.dat
2005-12-16 04:15 172,099 GQ93DA.EXE
2 Datei(en) 188,483 Bytes
0 Verzeichnis(se), 12,357,480,448 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B472-60F2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2006-06-03 18:38 114,256 IDropDEU.dll
2006-06-03 18:38 114,280 IDropENU.dll
2006-06-03 18:09 283,296 IDrop.ocx
2006-05-22 16:30 65 desktop.ini
2006-03-27 13:00 5,019 swflash.inf
2005-05-26 04:19 291 wuweb.inf
2005-05-26 04:19 293 muweb.inf
7 Datei(en) 517,500 Bytes
0 Verzeichnis(se), 12,357,480,448 Bytes frei
.
.
.



Vielen Dank schon mal für eure Hilfe.
Gruß
Harry
Seitenanfang Seitenende
30.08.2007, 10:58
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

folgendes onlineprüfen lassen (wobei eine EXE die in einem Tempverzeichnis mit so einem Namen ausgeführt wird, man wahrscheinlich gleich löschen sollte:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\TEMP\GQ93DA.EXE
C:\WINDOWS\system32\nvshelld.dll
Poste das Ergebnis...

Chris
Seitenanfang Seitenende
30.08.2007, 11:23
...neu hier

Themenstarter

Beiträge: 6
#3 C:\WINDOWS\TEMP\GQ93DA.EXE


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.29.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 -
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 -
AVG 7.5.0.484 2007.08.29 -
BitDefender 7.2 2007.08.30 -
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV 0.91.2 2007.08.29 -
DrWeb 4.33 2007.08.30 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5095 2007.08.30 -
Ewido 4.0 2007.08.29 -
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 -
F-Prot 4.3.2.48 2007.08.29 -
F-Secure 6.70.13030.0 2007.08.30 -
Ikarus T3.1.1.12 2007.08.30 -
Kaspersky 4.0.2.24 2007.08.30 -
McAfee 5108 2007.08.29 -
Microsoft 1.2803 2007.08.30 -
NOD32v2 2491 2007.08.30 -
Norman 5.80.02 2007.08.29 -
Panda 9.0.0.4 2007.08.29 -
Prevx1 V2 2007.08.30 -
Rising 19.38.31.00 2007.08.30 -
Sophos 4.21.0 2007.08.30 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.30 -
TheHacker 6.1.9.175 2007.08.30 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.29 -
Webwasher-Gateway 6.0.1 2007.08.30 -
weitere Informationen
File size: 172099 bytes
MD5: b89c30b230652b6c744b74a7057616e8
SHA1: 52d779adc0bd3e4c6a5f2a3cfa43ec5c8fe7dbdd

------------------------
C:\WINDOWS\system32\nvshelld.dll


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.29.0 2007.08.30 Win-AppCare/Stud.9728
AntiVir 7.4.1.66 2007.08.30 ADSPY/Stud.D
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 Win32:Trojano-3384
AVG 7.5.0.484 2007.08.29 Adware Generic.WNV
BitDefender 7.2 2007.08.30 Adware.Stud.I
CAT-QuickHeal 9.00 2007.08.30 AdWare.Stud.d (Not a Virus)
ClamAV 0.91.2 2007.08.29 Adware.BHO-15
DrWeb 4.33 2007.08.30 -
eSafe 7.0.15.0 2007.08.29 -
eTrust-Vet 31.1.5095 2007.08.30 -
Ewido 4.0 2007.08.29 Adware.Stud
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 -
F-Prot 4.3.2.48 2007.08.29 W32/Adware.IJT
F-Secure 6.70.13030.0 2007.08.30 -
Ikarus T3.1.1.12 2007.08.30 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.08.30 not-a-virus:AdWare.Win32.Stud.d
McAfee 5108 2007.08.29 -
Microsoft 1.2803 2007.08.30 Trojan:Win32/Webprefix
NOD32v2 2491 2007.08.30 Win32/Adware.BHO.AA
Norman 5.80.02 2007.08.29 W32/Stud.Y
Panda 9.0.0.4 2007.08.29 -
Prevx1 V2 2007.08.30 -
Rising 19.38.31.00 2007.08.30 Adware.Win32.Stud.d
Sophos 4.21.0 2007.08.30 MapKon
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.30 Adware.Webprefix
TheHacker 6.1.9.175 2007.08.30 Adware/Stud.d
VBA32 3.12.2.3 2007.08.30 AdWare.Win32.Stud.d
VirusBuster 4.3.26:9 2007.08.29 Adware.BHO.EC
Webwasher-Gateway 6.0.1 2007.08.30 Ad-Spyware.Stud.D
weitere Informationen
File size: 36548 bytes
MD5: 0a5c76e8dc094811bb1d437cfc02fabe
SHA1: 841d46a37f18a45b4bfbdd8c534a9a4caca7e5e8
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Seitenanfang Seitenende
30.08.2007, 12:54
Moderator

Beiträge: 7802
#4 Nur zur Info: TEMP\GQ93DA.EXE gehoert zu Trend Micros officescan.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.08.2007, 14:06
Member
Avatar Chris4You

Beiträge: 694
#5 Hi,

@raman
Danke für die Info!

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Files to delete:
C:\WINDOWS\system32\nvshelld.dll
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat


O2 - BHO: (no name) - {E875A5C0-52B1-4CB3-A148-6B1F4B5345C4} - C:\WINDOWS\system32\nvshelld.dll


chris
Seitenanfang Seitenende
30.08.2007, 14:27
...neu hier

Themenstarter

Beiträge: 6
#6 Vielen Dank für deine Mühe Chris.
Habe gerade alles ausgeführt und der Rechner startet neu.

Werde anschliessend mal den IE testen.

Gruß
Harry
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: