trojan-downloader-zlob-Problem

#1 hey leute.

hab leider das gleiche problem wie schon in diesem thread beschrieben:
http://board.protecus.de/t19429.htm

hab das auch durchgelesen, jedoch bin ich ohne unterstützung nicht weiter gekommen.

als erstes: zum entfernen hab ich schon probiert:
kaspersky internet sec. 7.0
adaware
spy hunter

des weiteren hab ich schon gemacht was hier steht:

Zitat

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

habe in hijackthis schon nach der anleitung auf der hp gefixt und das ist übrig geblieben (es funktioniert noch alles, auch problem ist noch vorhanden) neustart wurde noch keiner gemacht und systemwiederherstellung nicht deaktiviert:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:09, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programme\HP\HP Software Update\HPwuSchd2.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Eraser\eraser.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Eigene Dateien\Eigene Musik\New\MUSIK\HiJackThis\HijackThis.exe
C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\mexe.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: wmphost - {C7F0EC90-F241-43AB-A746-3DE2BDB61753} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {60175A72-2C00-4708-9639-0FE8A1D18D99} - C:\WINDOWS\wmpdev.dll
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6843 bytes

hier sind noch die 4 Logs der lezten 3 monate:

Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 80B9-1841

Verzeichnis von C:\WINDOWS\system32

05.09.2007 15:12 34.308 BASSMOD.dll
05.09.2007 12:32 1.158 wpa.dbl
03.09.2007 23:07 4.212 zllictbl.dat
03.09.2007 21:59 70.932 perfc009.dat
03.09.2007 21:59 437.838 perfh009.dat
03.09.2007 21:59 454.964 perfh007.dat
03.09.2007 21:59 83.846 perfc007.dat
03.09.2007 21:59 1.061.540 PerfStringBackup.INI
30.08.2007 00:56 249.852 TZLog.log
15.08.2007 00:14 47.104 KMVIDC32.DLL
08.08.2007 13:25 5.214 jupdate-1.6.0_02-b06.log
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
27.07.2007 09:46 206.512 FNTCACHE.DAT
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
02.07.2007 21:41 4.816 divxsm.tlb
02.07.2007 21:41 524.288 DivXsm.exe
02.07.2007 21:41 10.152 dsm_de.qm
02.07.2007 21:41 3.596.288 qt-dx331.dll
02.07.2007 21:41 72.440 pxhpinst.exe
02.07.2007 21:41 1.044.480 libdivx.dll
02.07.2007 21:41 200.704 ssldivx.dll
02.07.2007 21:37 73.728 dpl100.dll
02.07.2007 21:37 196.608 dtu100.dll
02.07.2007 21:37 53.248 dpuGUI10.dll
02.07.2007 21:37 593.920 dpuGUI11.dll
02.07.2007 21:37 344.064 dpus11.dll
02.07.2007 21:37 57.344 dpv11.dll
02.07.2007 21:37 294.912 dpu10.dll
02.07.2007 21:37 294.912 dpu11.dll
02.07.2007 21:37 823.296 divx_xx07.dll
02.07.2007 21:37 823.296 divx_xx0c.dll
02.07.2007 21:37 802.816 divx_xx11.dll
02.07.2007 21:37 740.442 DivX.dll
02.07.2007 21:37 638.976 divxdec.ax
02.07.2007 21:36 12.288 DivXWMPExtType.dll
02.07.2007 21:36 124.472 DivXCodecUpdateChecker.exe
02.07.2007 21:36 8.523 dpude.qm
02.07.2007 21:36 3.136 dtu_de.qm
28.06.2007 12:51 206.088 klogon.dll
26.06.2007 16:09 664.576 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 20:09 3.079.680 mshtml.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 16:24 123.904 xpsp3res.dll


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 80B9-1841

Verzeichnis von C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp

05.09.2007 19:11 21.874.441 MWAV.LOG
05.09.2007 19:11 11.404.336 mwXface.log
05.09.2007 19:11 1.836.963 MWAVC.LOG
05.09.2007 19:11 0 BITAC.tmp
05.09.2007 19:10 512 ~DF275B.tmp
05.09.2007 19:10 0 BITAB.tmp
05.09.2007 19:10 0 BITAA.tmp
05.09.2007 19:10 0 BIT74.tmp
05.09.2007 19:10 0 BITA9.tmp
05.09.2007 19:10 0 BITD3.tmp
05.09.2007 19:10 0 BIT8D.tmp
05.09.2007 19:10 0 BIT88.tmp
05.09.2007 19:10 0 BITBB.tmp
05.09.2007 19:10 0 BITB4.tmp
05.09.2007 19:10 0 BIT85.tmp
05.09.2007 19:10 0 BITE8.tmp
05.09.2007 19:09 0 BIT9A.tmp
05.09.2007 19:09 0 BIT78.tmp
05.09.2007 19:09 0 BIT72.tmp
05.09.2007 19:09 0 BITE0.tmp
05.09.2007 19:09 0 BITDB.tmp
05.09.2007 19:09 0 BITEB.tmp
05.09.2007 19:09 0 BITB7.tmp
05.09.2007 19:09 0 BIT4.tmp
05.09.2007 19:09 0 BIT178.tmp
05.09.2007 19:08 0 BIT177.tmp
05.09.2007 19:08 0 BIT176.tmp
05.09.2007 19:08 0 BITCB.tmp
05.09.2007 19:08 0 BIT175.tmp
05.09.2007 19:08 0 BIT105.tmp
05.09.2007 19:08 0 BIT173.tmp
05.09.2007 19:08 0 BITF6.tmp
05.09.2007 19:07 0 BIT89.tmp
05.09.2007 19:07 0 BITA2.tmp
05.09.2007 19:07 0 BIT1.tmp
05.09.2007 19:06 0 BITC3.tmp
05.09.2007 19:06 0 BIT1EB.tmp
05.09.2007 19:06 0 BIT1C1.tmp
05.09.2007 19:06 0 BIT82.tmp
05.09.2007 19:06 0 BIT112.tmp
05.09.2007 19:06 0 BIT93.tmp
05.09.2007 19:06 0 BIT90.tmp
05.09.2007 19:05 0 BIT70.tmp
05.09.2007 19:05 0 BITED.tmp
05.09.2007 19:05 0 BIT98.tmp
05.09.2007 19:05 0 BITBD.tmp
05.09.2007 19:05 0 BIT6D.tmp
05.09.2007 19:05 0 BIT73.tmp
05.09.2007 19:05 0 BIT6A.tmp
05.09.2007 19:05 0 BITF1.tmp
05.09.2007 19:05 0 BIT8C.tmp
05.09.2007 19:05 0 BITB5.tmp
05.09.2007 19:04 0 BITA8.tmp
05.09.2007 19:04 0 BIT8A.tmp
05.09.2007 19:04 0 BIT11B.tmp
05.09.2007 19:04 0 BIT7F.tmp
05.09.2007 19:04 0 BIT87.tmp
05.09.2007 19:04 0 BIT6F.tmp
05.09.2007 19:04 0 BIT2.tmp
05.09.2007 19:04 0 BITCE.tmp
05.09.2007 19:04 0 BIT6C.tmp
05.09.2007 19:04 0 BITA5.tmp
05.09.2007 19:03 0 BIT69.tmp
05.09.2007 19:03 0 BIT7A.tmp
05.09.2007 19:03 0 BITB2.tmp
05.09.2007 19:03 0 BIT84.tmp
05.09.2007 19:03 0 BITC8.tmp
05.09.2007 19:03 0 BIT77.tmp
05.09.2007 19:03 0 BIT71.tmp
05.09.2007 19:02 0 BITE6.tmp
05.09.2007 19:02 0 BIT96.tmp
05.09.2007 19:01 0 BIT6E.tmp
05.09.2007 19:01 0 BITE9.tmp
05.09.2007 19:01 0 BITDE.tmp
05.09.2007 19:01 0 BIT6B.tmp
05.09.2007 19:01 0 BIT92.tmp
05.09.2007 19:00 0 BITB8.tmp
05.09.2007 19:00 0 BITBA.tmp
05.09.2007 19:00 0 BITF4.tmp
05.09.2007 19:00 0 BITB6.tmp
05.09.2007 19:00 0 BITD6.tmp
05.09.2007 19:00 0 BITF9.tmp
05.09.2007 19:00 0 BIT75.tmp
05.09.2007 19:00 0 BIT3.tmp
05.09.2007 18:59 0 BIT146.tmp
05.09.2007 18:59 0 BIT10B.tmp
05.09.2007 18:59 0 BIT7B.tmp
05.09.2007 18:59 0 BIT101.tmp
05.09.2007 18:59 0 BIT97.tmp
05.09.2007 18:59 0 BIT1F.tmp
05.09.2007 18:59 0 BIT14.tmp
05.09.2007 18:59 0 BITE1.tmp
05.09.2007 18:59 0 BITEC.tmp
05.09.2007 18:58 0 BIT11F.tmp
05.09.2007 18:58 0 BIT111.tmp
05.09.2007 18:58 0 BIT2B.tmp
05.09.2007 18:58 0 BIT1D.tmp
05.09.2007 18:58 0 BITCC.tmp
05.09.2007 18:58 0 BIT8F.tmp
05.09.2007 18:58 0 BIT9.tmp
05.09.2007 18:57 0 BITEF.tmp
05.09.2007 18:57 0 BIT114.tmp
05.09.2007 18:57 0 BIT8B.tmp
05.09.2007 18:57 0 BIT10D.tmp
05.09.2007 18:56 0 BIT26.tmp
05.09.2007 18:56 0 BIT99.tmp
05.09.2007 18:56 0 BIT8E.tmp
05.09.2007 18:56 0 BITA6.tmp
05.09.2007 18:56 0 BIT86.tmp
05.09.2007 18:56 0 BIT95.tmp
05.09.2007 18:55 0 BIT18.tmp
05.09.2007 18:55 0 BIT5.tmp
05.09.2007 18:55 0 BIT91.tmp
05.09.2007 18:55 0 BITC5.tmp
05.09.2007 18:55 0 BIT79.tmp
05.09.2007 18:55 0 BITB1.tmp
05.09.2007 18:55 0 BITAF.tmp
05.09.2007 18:55 0 BITAD.tmp
05.09.2007 18:19 241.664 MYDB.DLL
05.09.2007 17:34 16.384 Perflib_Perfdata_300.dat
05.09.2007 17:34 0 _hphtra07.log
05.09.2007 01:39 1.949.696 msvl64.dll
05.09.2007 01:20 426.560 mexe.com
04.09.2007 22:14 417.444 hpodvd09.log
02.07.2007 16:28 135.168 ScanningProcess.exe
02.07.2007 16:27 274.432 kave.dll


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 80B9-1841

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
08.12.2005 13:46 1.271 erma.inf
03.11.2004 03:04 65 desktop.ini
3 Datei(en) 6.355 Bytes
0 Verzeichnis(se), 58.272.702.464 Bytes frei


Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 80B9-1841

Verzeichnis von C:\

05.09.2007 19:14 0 sys.txt
05.09.2007 19:13 388 down.txt
05.09.2007 19:13 664 tmp.txt
05.09.2007 19:11 12.959 system.txt
05.09.2007 19:11 8.017 systemtemp.txt
05.09.2007 19:09 103.188 system32.txt
05.09.2007 17:32 1.072.222.208 hiberfil.sys
05.09.2007 17:32 1.610.612.736 pagefile.sys
08.07.2007 22:46 268 sqmdata19.sqm
08.07.2007 22:46 244 sqmnoopt00.sqm

ich hoffe ihr könnt mir helfen, bin zwar kein noob, aber so richtig ahnung hab ich nicht.
danke im vorraus.

glg XDevil

#2 Hi,

mit HJ-Fixen (abgesicherter Modus):
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll
O21 - SSODL: wmpdev - {60175A72-2C00-4708-9639-0FE8A1D18D99} - C:\WINDOWS\wmpdev.dll
O21 - SSODL: wmphost - {C7F0EC90-F241-43AB-A746-3DE2BDB61753} - C:\WINDOWS\wmphost.dll
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)

Online scannen lassen, poste das Ergebnis:
http://www.virustotal.com/de/
C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\mexe.com

Dann noch ein neues HJ-Log;

Chris
(Bin zuhause, habe meine Unterlagen nicht, morgen gehts weiter...)

#3 Hallo,

hier noch ne Anleitung zum entfernen von Zlob

http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html

Gruss Felixx
__________
*virustotal*
*escan*

#4 hey.

danke schon mal dass ihr mir helft!!

also:

Zitat

mit HJ-Fixen (abgesicherter Modus):
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll
O21 - SSODL: wmpdev - {60175A72-2C00-4708-9639-0FE8A1D18D99} - C:\WINDOWS\wmpdev.dll
O21 - SSODL: wmphost - {C7F0EC90-F241-43AB-A746-3DE2BDB61753} - C:\WINDOWS\wmphost.dll
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)

--> hab ich gemacht

Zitat

Online scannen lassen, poste das Ergebnis:
http://www.virustotal.com/de/
C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\mexe.com

hab ich auch gemacht, aber er hat die datei nicht gefunden auf meinem pc. vl weil ich vorher noch "SmitfraudFix" durchlaufen hab lassen?!?!

hier ist die hj-datei direkt im gesicherten modus,:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:42, on 07.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5435 bytes

und hier wärend ich diesen eintrag schreibe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:08, on 07.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Programme\HP\HP Software Update\HPwuSchd2.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Eraser\eraser.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6154 bytes

mfg XD

edit: hätt ich jetzt fast vergessen dazu zu sagen, ich sitze jetzt schon ca 20 min und vom virus oder popups oder so ist nichts zu sehen. wars dass schon oder kann der einfach so wieder kommen, zb durch eine systemwiederherstellung oder so was in der art??

#5 Du benutzt zwei virenscanner?
__________
MfG Argus

#6 hmm...eigentlich nicht, aber ich hab viel installiert und viel ausprobiert um ihn wegzu bekommen, bekomm heut vl noch kaspersky, dann kommt das norton weg.

welche vertragen sich denn mit welchen??

mfg XD

#7 ein Virenscanner genügt,zwei nicht
Man kann besser dan ein Onlinescan machen statt ein zweiter Scanner zu installieren.
Benutze ATF cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Es gibt für Symantec ein Un-installer wenn es sich nicht entfernen lässt(Anhang)


__________
MfG Argus

#8 ok.
wofür oder wann brach ich den ATF cleaner genau??
jedesmal nachm surven werd ich das doch nicht machen, oder?

#9 Ich gib dir ein Tip um ATF cleaner zu benutzen
Ich benutze es jeden Tag wenn ich den ganzen Tag im Internetz gewesen bin
Es entfernt Müll von dein Rechner
__________
MfG Argus

#10 ok, werd dran denken thx. hab dafür bis jetzt immer den TIF-löscher verwendet...