Virtumonde.generic verseucht - VundoFix hat nicht geholfen :( |
||
---|---|---|
#0
| ||
30.09.2007, 22:23
Member
Beiträge: 15 |
||
|
||
30.09.2007, 23:39
Ehrenmitglied
Beiträge: 6028 |
#2
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer". Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Neu Starten Entferne auf C:\VundoFix Backups--->Papierkorb leeren Schau mal nach auf C:\ ob da combofix.txt steht,dessen Inhalt hier posten __________ MfG Argus |
|
|
||
01.10.2007, 00:26
Member
Themenstarter Beiträge: 15 |
#3
Vielen Dank für die schnelle Antwort.
Ich hab alles gemacht, was Du geschrieben hast. In C:\ComboFix\ComboFix.txt steht das hier: ComboFix 07-09-21.2 - "daniel" 2007-09-30 18:36:57.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.257 [GMT 2:00] * Created a new restore point . (In C:\ gubt es noch die Datei VundoFix.txt. Soll ich die auch löschen?) Dieser Beitrag wurde am 01.10.2007 um 00:36 Uhr von Daniel H editiert.
|
|
|
||
01.10.2007, 00:36
Ehrenmitglied
Beiträge: 6028 |
#4
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {6D9AC858-C622-4193-885E-CFEAB8834BBE} - C:\WINDOWS\system32\jkhfd.dll O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll O2 - BHO: (no name) - {DE93083F-D91D-46BD-929A-077D2B86F421} - (no file) O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file) O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 –u O20 - Winlogon Notify: cbxvspm - C:\WINDOWS\SYSTEM32\cbxvspm.dll O20 - Winlogon Notify: jkhfd - C:\WINDOWS\system32\jkhfd.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Entferne ComboFix von dein Desktop und auf C:\\Qoobox--->Papierkorb leeren Download ComboFix und speichert es auf den Desktop Alle Fenster schliessen und combofix.exe starten Doppelklick combofix.exe Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt). nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein log von HijackThis __________ MfG Argus |
|
|
||
01.10.2007, 01:13
Member
Themenstarter Beiträge: 15 |
#5
Ok, hab ich alles gemacht.
In C:\ComboFix\ComboFix.txt steht: ComboFix 07-09-30.10 - daniel 2007-10-01 0:56:12.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.214 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\daniel\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . Von HiJackThis hab ich kein Log bekommen (zumindest war auf dem Desktop, im Ordner, wo HiJackThis ist und in C:\ nichts) |
|
|
||
01.10.2007, 01:21
Ehrenmitglied
Beiträge: 6028 |
#6
Und weiter steht im ComboFix log nichts?
Wenn du HJ startest und "Do a system scan and safe a logfile"kommt da kein logfile? __________ MfG Argus |
|
|
||
01.10.2007, 01:32
Member
Themenstarter Beiträge: 15 |
#7
Ja, ich hab den kompletten Inhalt aus C:\ComboFix\ComboFix.txt kopiert
Zitat Wenn du HJ startest und "Do a system scan and safe a logfile"kommt da kein logfile?Ich habe "Do a system scan and safe a logfile" ausgewählt (wie Du ja oben geschrieben hast - oder hab ich irgendwas falsch verstanden?) Soll ich jetzt "Do a system scan and safe a logfile" laufen lassen? EDIT: Ich glaub jetzt hab ich's kapiert Hier ist das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:34, on 2007-10-01 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE E:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\ewido anti-spyware 4.0\guard.exe E:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\System32\svchost.exe E:\Programme\UltraVNC\WinVNC.exe E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe E:\Programme\Raxco\PerfectDisk\PDSched.exe E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE E:\Programme\PC-Zeit\trap.exe E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe E:\Programme\Java\jre1.6.0_01\bin\jusched.exe E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Babylon\Babylon-Pro\Babylon.exe E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe E:\Programme\Sandboxie\Control.exe E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe E:\Programme\Opera\Opera.exe E:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads\System\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {48E8DCE9-402E-4F2A-9042-456D5D854DE7} - C:\WINDOWS\system32\mlljh.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll (file missing) O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [pczeit] "E:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [WireLessMouse ] E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard ] E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Z-Cron] E:\Programme\Z-Cron\z-cron.EXE O4 - HKLM\..\Run: [TrustInstaller] "F:\Setup.exe" O4 - HKCU\..\Run: [FreeRAM XP] "E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win O4 - HKCU\..\Run: [SandboxieControl] E:\Programme\Sandboxie\Control.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: ClearProg.lnk = ? O8 - Extra context menu item: RF - Formular ausfüllen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://linktrader.cyberspacehq.com O17 - HKLM\System\CCS\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4C4FDE3-3149-43CD-A029-A2D0B7BC0F06}: NameServer = 192.168.1.1,192.168.1.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2 O20 - Winlogon Notify: cbxvspm - cbxvspm.dll (file missing) O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\Sandboxie\SbieSvc.exe O23 - Service: Search Engine Commando Schedule Service (SECScheduleService) - Unknown owner - E:\Programme\Search Engine Commando\ScheduleService.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VNC Server (winvnc) - UltraVNC - E:\Programme\UltraVNC\WinVNC.exe O23 - Service: WMP54Gv4SVC - GEMTEKS - E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe -- End of file - 10001 bytes Dieser Beitrag wurde am 01.10.2007 um 01:37 Uhr von Daniel H editiert.
|
|
|
||
01.10.2007, 01:38
Ehrenmitglied
Beiträge: 6028 |
#8
Hast du unstehendes auch gemacht?wenn,ja musst du jetzt "Do a system scan and safe a logfile" laufen lassen
Und das log hier posten Zitat Schliesse alle Fenster und starte Hijack This __________ MfG Argus |
|
|
||
01.10.2007, 01:42
Member
Themenstarter Beiträge: 15 |
#9
Ich hab das Log in meinen letzten Post editiert
ach so, edit: ja, das hatte ich gemacht Dieser Beitrag wurde am 01.10.2007 um 01:49 Uhr von Daniel H editiert.
|
|
|
||
01.10.2007, 01:56
Ehrenmitglied
Beiträge: 6028 |
#10
Download KillBox zum Desktop
1.laden und entpacken 2."Delete on Reboot" und "Single File" anhaken + zu löschende Datei einkopieren (der Pfad muss korrekt sein) reinkopieren: C:\WINDOWS\system32\mlljh.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes" Und poste danach wieder ein log von Hijack This __________ MfG Argus |
|
|
||
01.10.2007, 02:12
Member
Themenstarter Beiträge: 15 |
#11
Ok, hier ist das log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:11, on 2007-10-01 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE E:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\ewido anti-spyware 4.0\guard.exe E:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\System32\svchost.exe E:\Programme\UltraVNC\WinVNC.exe E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe E:\Programme\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE E:\Programme\PC-Zeit\trap.exe E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe E:\Programme\Java\jre1.6.0_01\bin\jusched.exe E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Babylon\Babylon-Pro\Babylon.exe E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe E:\Programme\Sandboxie\Control.exe E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe E:\Programme\Opera\Opera.exe E:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads\System\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {48E8DCE9-402E-4F2A-9042-456D5D854DE7} - C:\WINDOWS\system32\mlljh.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll (file missing) O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [pczeit] "E:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [WireLessMouse ] E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard ] E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Z-Cron] E:\Programme\Z-Cron\z-cron.EXE O4 - HKLM\..\Run: [TrustInstaller] "F:\Setup.exe" O4 - HKCU\..\Run: [FreeRAM XP] "E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win O4 - HKCU\..\Run: [SandboxieControl] E:\Programme\Sandboxie\Control.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: ClearProg.lnk = ? O8 - Extra context menu item: RF - Formular ausfüllen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://linktrader.cyberspacehq.com O17 - HKLM\System\CCS\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4C4FDE3-3149-43CD-A029-A2D0B7BC0F06}: NameServer = 192.168.1.1,192.168.1.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2 O20 - Winlogon Notify: cbxvspm - cbxvspm.dll (file missing) O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDSched.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\Sandboxie\SbieSvc.exe O23 - Service: Search Engine Commando Schedule Service (SECScheduleService) - Unknown owner - E:\Programme\Search Engine Commando\ScheduleService.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: VNC Server (winvnc) - UltraVNC - E:\Programme\UltraVNC\WinVNC.exe O23 - Service: WMP54Gv4SVC - GEMTEKS - E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe -- End of file - 10064 bytes |
|
|
||
01.10.2007, 02:29
Ehrenmitglied
Beiträge: 6028 |
#12
Auf C:\!Killbox entfernen Papierkorb leeren
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {48E8DCE9-402E-4F2A-9042-456D5D854DE7} - C:\WINDOWS\system32\mlljh.dll (file missing) O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll (file missing) O20 - Winlogon Notify: cbxvspm - cbxvspm.dll (file missing) O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Frage:funktioniert ewido anti-spyware 4.0 noch stehts bei dir? Unter O23 steht "Search Engine Commando Schedule Service"wird die noch benutzt? In Windows\system32\ stehen viele unbekannte sachen bis 2007-06-28 Poste bitte nochmal datfindbat mit Daten die noch weiter zurueck gehen z.b ab 1-1-2007 diese bat file erst machen nachdem Kaspersky gelaufen ist Ich komme noch darauf zurueck es ist mir jetzt zu spaet Scanne mit Multi-AV und waehle Kaspersky http://www.virus-protect.org/multiavtool.html Aber download von hier (sehe Anhang) Anhang: Multi_AV.exe __________ MfG Argus |
|
|
||
01.10.2007, 04:04
Member
Themenstarter Beiträge: 15 |
#13
Ok, alles erledigt.
Ich möchte Dir hiermit schon mal ganz herzlich für Deine Hilfe danken - ich bin echt extrem froh, dass Du mir bei meinem Problem hilfst. Zitat funktioniert ewido anti-spyware 4.0 noch stehts bei dir?Ich lass ewido manchmal das System überprüfen und da funktioniert er ganz normal (soweit ich das beurteilen kann). Oh, da fällt mir was ein: Ich hab vergessen, zu erzählen, dass Ad-Aware SE Personal nicht mehr funktioniert. Wenn ich es starte und das System checken will, fährt der Rechner einfach runter (hab ich einige mal getestet). Zu "Search Engine Commando Schedule Service": Soweit ich mich erinnere, habe ich das Programm bereits deinstalliert (ich finde es auf jeden Fall nicht mehr auf meiner Platte) Hier ist ein Bericht von Kaspersky (nachdem ich den "normalen" Kaspersky-Scan gemacht hatte, hatte mich das Programm gefragt ob ich jetzt noch einen anderen Scan mit Kaspersky machen will. Von diesem Scan stammt der Bericht (anscheinend). edit: anscheinend ist der Text zu lang. Ich häng die beiden Berichte als txt file an. Anhang: datfind+kaspersky-bericht.txt Dieser Beitrag wurde am 01.10.2007 um 04:19 Uhr von Daniel H editiert.
|
|
|
||
01.10.2007, 13:20
Member
Beiträge: 694 |
#14
Hi,
in Deiner Sandbox (Sandboxie?) hast Du jede Menge Viren/Trojaner angesammelt, komplett löschen (nichts von der Sandbox übernehmen!)... -> http://www.sandboxie.com/index.php?DeletingTheSandbox Chris (Back to Arni) Dieser Beitrag wurde am 01.10.2007 um 16:14 Uhr von Chris4You editiert.
|
|
|
||
01.10.2007, 18:21
Member
Themenstarter Beiträge: 15 |
#15
Danke Chis.
Du meinst ich soll alles löschen, ohne die ganzen Downloads zu sichern? Das wäre aber sehr übel, wenn mir das alles verloren ginge. PS: Ja, das ist Sandboxy Edit: kann man nicht irgendwie die infizierten Dinge löschen, und den Rest freigeben? Dieser Beitrag wurde am 01.10.2007 um 20:38 Uhr von Daniel H editiert.
|
|
|
||
kann mir bitte jemand helfen meinen Rechner wieder virenfrei zu
bekommen? Ich hab mir irgendwie Virtumonde eingefangen, welcher mich
extrem terrorisiert
Ich habe "ihn" schon versucht mit VundoFix zu entfernen, was aber
leider erfolglos blieb.
Kann mir bitte jemand helfen diesen Terroristen-Virus zu entfernen?
Ständig (manchmal 30 mal hintereinander) geht ein AntiVir-Popup auf,
und sagt, dass ein Trojanisches Pferd irgendwas machen will.
AntiVir meint, dass das Trojanische Pferd TR/Dldr.ConHook.Gen heißt.
Außerdem kommt es aus cbxvspm.dll im System32 Ordner.
Manchmal (z. B. jetzt) werde ich auch mit Registy-Einträgen zugebommt
(Spybot Search & Destroy fragt dann immer, ob ich den Eintrag zulassen
will. Wenn ich den Eintrag ablehne, kommt er direkt wieder. Wenn ich
„Merke diese Entscheidung“ auswähle, kommt jede Sekunde eine
Registry-Eintrag Anfrage, und ich muss den PC neu starten)
Was auch noch extrem stört, sind die ständigen Anfragen vom Internet
Explorer, um sich mit dem Internet zu verbinden (Ich benutze Opera
oder Firefox als Standard Browser).
Kann irgendjemand helfen diese Foltermaschine zu entfernen?
Mein Rechner ist total langsam geworden
Schonmal vielen Dank an jeden, der mir helfen kann oder will.
PS: Sorry, falls ich mein Problem mit einem der ähnlich aussehenden
Threads hätte lösen können. Mir kommt das ganze "etwas" heftiger vor
als es sich in den anderen Threads anhört. Ich dachte, dass man bei
sowas eine „individuelle“ Lösung braucht (es können ja noch andere
Viren vorhanden sein, bei denen man etwas anderes machen muss).
Deshalb wollte ich besser vorher nachfragen, bevor irgendwas kaputt
geht
Hier sind noch die in "NEUE BEITRÄGE ERSTELLEN" geforderte Berichte +
der Spybot Search & Destroy Scan Bericht.
Spybot Search & Destroy Scan:
Virtumonde.generic: Class ID (Registrierungsdatenbank-Schlüssel,
nothing done)
HKEY_CLASSES_ROOT\CLSID\{C004A8DA-623A-4409-B6ED-F3E3DA367792}
Virtumonde.generic: Browser helper object
(Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C004A8DA-623A-4409-B6ED-F3E3DA367792}
Virtumonde.generic: Einstellungen (Registrierungsdatenbank-Wert,
nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks\{C004A8DA-623A-4409-B6ED-F3E3DA367792}
Virtumonde.generic: Benutzer-Einstellungen
(Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-1229272821-573735546-839522115-1004\Software\Micro
soft\Windows\CurrentVersion\Ext\Stats\{C004A8DA-623A-4409-B6ED-F3E3DA3
67792}
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-03-04 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-04-18 advcheck.dll (1.5.1.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-09-26 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-09-26 Includes\DialerC.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-09-26 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-09-26 Includes\KeyloggersC.sbi (*)
2007-09-12 Includes\Malware.sbi (*)
2007-09-26 Includes\MalwareC.sbi (*)
2007-09-05 Includes\PUPS.sbi (*)
2007-09-26 Includes\PUPSC.sbi (*)
2007-09-26 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-09-26 Includes\SecurityC.sbi (*)
2007-09-12 Includes\Spybots.sbi (*)
2007-09-26 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti
2007-09-12 Includes\Trojans.sbi (*)
2007-09-26 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll
1.
Temporaere Dateien beseitigen
erledigt
2.
Combofix
erledigt, hat allerdings keinen Bericht angezeigt
(allerdings erschien auf dem Destop ein Rar-Achiv mit einer Datei
namens jkhfd.dll. Außerdem war auf einmal der Internet Explorer auf
dem Destop (über dem Rar-Achive)
3.
Erstellen eines Hijackthis-Logfiles
erledigt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13, on 2007-09-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\ewido anti-spyware 4.0\guard.exe
E:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\UltraVNC\WinVNC.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network
Monitor\WLService.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network
Monitor\WMP54Gv4.exe
E:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\PC-Zeit\trap.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Java\jre1.6.0_01\bin\jusched.exe
E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
E:\Programme\Sandboxie\Control.exe
E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\notepad.exe
E:\Dokumente und Einstellungen\daniel\Eigene
Dateien\Downloads\System\HiJackThis\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
about:blank
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D9AC858-C622-4193-885E-CFEAB8834BBE} -
C:\WINDOWS\system32\jkhfd.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} -
E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object -
{AC41D38F-B56D-40AD-94E0-B493D130C959} -
E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} -
C:\WINDOWS\system32\cbxvspm.dll
O2 - BHO: (no name) - {DE93083F-D91D-46BD-929A-077D2B86F421} - (no
file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no
file)
O4 - HKLM\..\Run: [pczeit] "E:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AcronisTrueImage Monitor]
"E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service]
"E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe"
-servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched]
"E:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse ] E:\Programme\TCM\TCM COMBO
SET\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] E:\Programme\TCM\TCM COMBO
SET\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition
Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Babylon Client]
E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Z-Cron] E:\Programme\Z-Cron\z-cron.EXE
O4 - HKLM\..\Run: [TrustInstaller] "F:\Setup.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [FreeRAM XP] "E:\Programme\YourWare
Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [SandboxieControl]
E:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities
2006\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'Default user')
O4 - Startup: ClearProg.lnk = ?
O8 - Extra context menu item: RF - Formular ausfüllen -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern -
file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Translate with &Babylon -
res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate
.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084}
- C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent -
{193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} -
C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46}
- file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen -
{320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber
Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49}
- file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern -
{320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber
Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Send to Mindjet MindManager -
{531B9DC0-D8EE-4c76-A6EE-6C1E50569655} -
E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Copernic Agent -
{688DC797-DC11-46A7-9F1B-445F4F58CE6E} -
C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus -
{724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber
Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} -
C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker -
{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: Ladbrokes Poker -
{C2A80015-C447-4dc4-82DD-AED83D6ED57E} -
C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} -
E:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O17 -
HKLM\System\CCS\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699F
E}: NameServer = 192.168.1.1,192.168.1.2
O17 -
HKLM\System\CCS\Services\Tcpip\..\{D4C4FDE3-3149-43CD-A029-A2D0B7BC0F0
6}: NameServer = 192.168.1.1,192.168.1.2
O17 -
HKLM\System\CS1\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699F
E}: NameServer = 192.168.1.1,192.168.1.2
O17 -
HKLM\System\CS3\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699F
E}: NameServer = 192.168.1.1,192.168.1.2
O20 - Winlogon Notify: cbxvspm - C:\WINDOWS\SYSTEM32\cbxvspm.dll
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\system32\jkhfd.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis -
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer
(AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition
Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService)
- Avira GmbH - E:\Programme\AntiVir PersonalEdition
Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development
a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - E:\Programme\Gemeinsame
Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PDEngine - Raxco Software, Inc. -
E:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. -
E:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk -
E:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Search Engine Commando Schedule Service
(SECScheduleService) - Unknown owner - E:\Programme\Search Engine
Commando\ScheduleService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - UltraVNC -
E:\Programme\UltraVNC\WinVNC.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - E:\Programme\Linksys Wireless-G
PCI Wireless Network Monitor\WLService.exe
--
End of file - 10509 bytes
4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
erledigt:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185
Verzeichnis von C:\WINDOWS\system32
2007-09-30 19:05 49,404 vsconfig.xml
2007-09-30 19:04 280 PDBootState
2007-09-30 18:05 24,576 VundoFixSVC.exe
2007-09-29 18:20 2,206 wpa.dbl
2007-09-25 18:10 34,308 BASSMOD.dll
2007-09-06 22:42 394,474 perfh009.dat
2007-09-06 22:42 60,190 perfc009.dat
2007-09-06 22:42 408,670 perfh007.dat
2007-09-06 22:42 72,702 perfc007.dat
2007-09-06 22:42 921,942 PerfStringBackup.INI
2007-08-30 23:08 355 iwlxcesr.ini
2007-08-30 22:14 295 pqlgleww.ini
2007-08-30 00:27 415 vyxldvfp.ini
2007-08-29 22:18 355 jiqdqsyp.ini
2007-08-29 19:18 295 uhinykla.ini
2007-08-28 22:57 295 rkkvjobc.ini
2007-08-27 23:03 295 bigsgxht.ini
2007-08-27 18:52 295 qdwcbjth.ini
2007-08-26 23:14 355 lfjjoixk.ini
2007-08-26 22:14 295 kpqveann.ini
2007-08-26 00:51 415 aosrhcwy.ini
2007-08-25 22:42 355 cdurtefu.ini
2007-08-25 21:39 295 pxnscsnm.ini
2007-08-25 19:36 10,884,472 SpoonUninstall.exe
2007-08-23 23:09 535 exmpuqgu.ini
2007-08-23 22:00 475 edyygcli.ini
2007-08-23 19:23 415 mlrcchlp.ini
2007-08-21 08:11 152,576 sevTab.ocx
2007-08-11 08:07 281,600 sevEin20.ocx
2007-08-08 12:48 132,608 sevMail32.ocx
2007-07-22 18:39 279,552 swreg.exe
2007-07-18 08:26 388,608 sevDataGrid2.ocx
2007-07-07 19:48 147,968 sevCmd3.ocx
2007-07-06 21:33 345 ggphkuce.ini
2007-07-06 06:44 1,053,740 paldwkgc.ini
2007-07-05 06:08 1,051,612 ivkftirc.ini
2007-07-04 06:51 1,032,943 xiuvlnye.ini
2007-07-02 22:41 345 twguqldc.ini
2007-07-01 21:36 345 myotsmfw.ini
2007-07-01 07:27 999,577 drptpnlt.ini
2007-06-29 20:43 345 idawekmf.ini
2007-06-29 07:25 975,220 miijgevo.ini
2007-06-28 07:32 959,959 mvcvtthm.ini
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185
Verzeichnis von C:\DOKUME~1\daniel\LOKALE~1\Temp
2007-09-30 19:16 108,607 datfind.txt
2007-09-30 19:12 114,688 ~DF73B9.tmp
2007-09-30 19:10 173 jusched.log
2007-09-30 19:06 16,384 Perflib_Perfdata_9fc.dat
2007-09-30 19:06 16,384 Perflib_Perfdata_9e4.dat
5 Datei(en) 256,236 Bytes
0 Verzeichnis(se), 2,986,958,848 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185
Verzeichnis von C:\WINDOWS
2007-09-30 19:10 54,251 WindowsUpdate.log
2007-09-30 19:06 1,169 win.ini
2007-09-30 19:05 5,539 setupapi.log
2007-09-30 19:04 0 0.log
2007-09-30 19:04 50 wiaservc.log
2007-09-30 19:04 159 wiadebug.log
2007-09-30 19:03 2,048 bootstat.dat
2007-09-30 08:44 32,578 SchedLgU.Txt
2007-09-29 02:55 51 pp.enc
2007-09-27 21:52 1,113 wininit.ini
2007-09-27 21:52 243 SYSTEM.INI
2007-09-23 03:34 74,240 AKDeInstall.exe
2007-09-19 02:06 2,985 my.ini.old
2007-09-19 02:06 2,985 my.ini
2007-09-16 01:13 3,230 Sandboxie.ini
2007-09-13 01:46 114 winzipme.ini
2007-09-07 19:07 286,720 Setup1.exe
2007-09-07 19:07 73,216 ST6UNST.EXE
2007-08-25 19:36 11,221 wmsetup.log
2007-08-19 17:24 36,215 tabletoc.log
2007-08-19 17:24 328,880 tsoc.log
2007-07-20 00:47 109,056 catchme.exe
2007-07-05 13:36 82 link-whore.key
2007-06-17 00:11 51,200 NirCmd.exe
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185
Verzeichnis von C:\WINDOWS\temp
2007-09-30 19:03 256 ZLT024ea.TMP
2007-09-30 19:03 256 ZLT024e7.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2,986,954,752 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185
Verzeichnis von C:\WINDOWS\Downloaded Program Files
.
.
.
5.
Problembeschreibung / Symptome ?
Siehe Einleitung