TR/Vundo.Gen Virus

#1 Hallo,

bin jetzt nach 2 Jahren wieder soweit das ich einen Virus auf den Pc habe den ich einfach nicht entfernen kann. Da ich bereits schon 2 mal hier bestens Hilfe erhalten habe, habe ich auf eigene Faust versucht den Virus zu löschen um euch ein bisschen Arbeit zu ersparen. Leider ohne Erfolg.
Wäre sehr dankbar wenn mir einer hilft.

Hier der Lock von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:24, on 2007-10-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: {7c30d6b0-b003-a938-e2e4-df102478c760} - {067c8742-01fd-4e2e-839a-300b0b6d03c7} - C:\WINDOWS\system32\tpchxymk.dll (file missing)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {C0A41D91-B6E8-49E9-9F91-6C54E332E097} - C:\WINDOWS\system32\awvtr.dll (file missing)
O2 - BHO: (no name) - {D3D2B8B3-1877-4EE1-9144-CD1C06C7D63F} - C:\WINDOWS\system32\mljjh.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-Q8BA3.exe" /REG
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: awvtr - C:\WINDOWS\
O20 - Winlogon Notify: gebya - C:\WINDOWS\
O20 - Winlogon Notify: geeby - C:\WINDOWS\
O20 - Winlogon Notify: mljjj - C:\WINDOWS\
O20 - Winlogon Notify: mlljh - C:\WINDOWS\
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\
O20 - Winlogon Notify: ssqro - C:\WINDOWS\
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: wvuvwwv - C:\WINDOWS\SYSTEM32\wvuvwwv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--------------------------------------------------

Ich hatte einfach die Vermutung das

O2 - BHO: (no name) - {D3D2B8B3-1877-4EE1-9144-CD1C06C7D63F} - C:\WINDOWS\system32\mljjh.dll

der Übeltäter ist, da auch genau von dieser dll der Virus gemeldet wird.


Danke im Vorraus Sabina

Grüsse

#2 Versuche via Software AskTBar zu entfernen

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: {7c30d6b0-b003-a938-e2e4-df102478c760} - {067c8742-01fd-4e2e-839a-300b0b6d03c7} - C:\WINDOWS\system32\tpchxymk.dll (file missing)
O2 - BHO: (no name) - {C0A41D91-B6E8-49E9-9F91-6C54E332E097} - C:\WINDOWS\system32\awvtr.dll (file missing)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O20 - Winlogon Notify: awvtr - C:\WINDOWS\
O20 - Winlogon Notify: gebya - C:\WINDOWS\
O20 - Winlogon Notify: geeby - C:\WINDOWS\
O20 - Winlogon Notify: mljjj - C:\WINDOWS\
O20 - Winlogon Notify: mlljh - C:\WINDOWS\
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\
O20 - Winlogon Notify: ssqro - C:\WINDOWS\

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#3 Hallo Arnold,

erstmal danke für deine Hilfe

Hier der Hijackthis Log

Logfile of HijackThis v1.99.1
Scan saved at 13:13, on 2007-10-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {F8F4DF17-4BFA-4A76-B976-722675690452} - C:\WINDOWS\system32\mljjh.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

-----------------------------------------------------------
-----------------------------------------------------------

ComboFix Log:

ComboFix 07-10-07.1 - Black DeVil 2007-10-07 13:19:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1632 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Black DeVil\Desktop\ComboFix(2).exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-07 bis 2007-10-07 ))))))))))))))))))))))))))))))
.

2007-10-05 22:14 <DIR> d-------- C:\HiJackthis
2007-10-05 22:06 <DIR> d-------- C:\VundoFix Backups
2007-10-05 22:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-05 21:52 51 --a------ C:\WINDOWS\system32\CLR2DLL.SYS
2007-10-05 21:45 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2007-10-05 18:31 18,127 ---hs---- C:\WINDOWS\system32\hjjlm.bak2
2007-10-04 19:01 6,363 ---hs---- C:\WINDOWS\system32\hjjlm.bak1
2007-10-04 19:00 318,048 --------- C:\WINDOWS\system32\mljjh.dll
2007-10-02 13:37 <DIR> d-------- C:\Programme\Tomb Raider - Legend
2007-10-01 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\Black DeVil\Anwendungsdaten\vlc
2007-10-01 22:09 <DIR> d-------- C:\Programme\VideoLAN
2007-09-30 13:21 15,857 ---hs---- C:\WINDOWS\system32\rtvwa.bak2
2007-09-29 20:19 <DIR> d-------- C:\Programme\Google
2007-09-29 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\Black DeVil\Anwendungsdaten\Google
2007-09-29 18:40 28,281 ---hs---- C:\WINDOWS\system32\rtvwa.bak1
2007-09-23 16:19 15,488 ---hs---- C:\WINDOWS\system32\hjllm.bak2
2007-09-20 21:38 6,440 ---hs---- C:\WINDOWS\system32\hjllm.bak1
2007-09-17 20:57 6,480 ---hs---- C:\WINDOWS\system32\aybeg.bak2
2007-09-16 20:22 6,480 ---hs---- C:\WINDOWS\system32\orqss.bak2
2007-09-13 19:51 6,440 ---hs---- C:\WINDOWS\system32\orqss.bak1
2007-09-12 19:56 6,785 ---hs---- C:\WINDOWS\system32\aybeg.bak1
2007-09-11 12:32 6,858 ---hs---- C:\WINDOWS\system32\jjjlm.bak2
2007-09-10 19:13 6,440 ---hs---- C:\WINDOWS\system32\jjjlm.bak1
2007-09-09 13:21 7,226 ---hs---- C:\WINDOWS\system32\ybeeg.bak1
2007-09-08 13:14 6,812 ---hs---- C:\WINDOWS\system32\opqss.bak1
2007-09-08 13:08 23,552 --a------ C:\WINDOWS\system32\wvuvwwv.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-07 12:55 --------- d-------- C:\Dokumente und Einstellungen\Black DeVil\Anwendungsdaten\Skype
2007-10-05 22:12 --------- d-------- C:\Programme\ICQToolbar
2007-10-04 19:32 --------- d-------- C:\Dokumente und Einstellungen\Black DeVil\Anwendungsdaten\teamspeak2
2007-10-03 18:50 --------- d-------- C:\Programme\World of Warcraft
2007-10-02 13:37 --------- d-------- C:\Dokumente und Einstellungen\Black DeVil\Anwendungsdaten\Azureus
2007-10-01 22:15 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-01 22:15 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-09-24 21:51 --------- d-------- C:\Dokumente und Einstellungen\Black DeVil\Anwendungsdaten\LimeWire
2007-09-11 19:51 --------- d-------- C:\Programme\America's Army
2007-09-08 10:27 --------- d-------- C:\Programme\ICQ6
2007-08-27 16:59 --------- d-------- C:\Programme\GameWiz32
2007-08-26 13:26 --------- d-------- C:\Programme\Microsoft Games
2007-08-26 01:58 --------- d-------- C:\Programme\MSXML 4.0
2007-08-26 00:19 682232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-08-21 21:09 --------- d-------- C:\Programme\Azureus
2007-08-16 12:55 --------- d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2007-08-07 21:53 66872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8F4DF17-4BFA-4A76-B976-722675690452}]
2007-10-04 19:00 318048 --------- C:\WINDOWS\system32\mljjh.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-16 16:20]
"nwiz"="nwiz.exe" [2006-04-16 16:20 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-16 16:20]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 17:48 C:\WINDOWS\RTHDCPL.exe]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22]
"Launch LCDMon"="C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl]
"CmUsbSound"="cmcnfgu.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 11:08]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 04:48]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 11:54]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 18:53]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-03-30 13:34]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2006-08-17 20:13]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=wbsys.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll

R1 BIOS;BIOS;\??\C:\WINDOWS\system32\drivers\BIOS.sys
R1 BS_I2cIo;BS_I2cIo;\??\C:\WINDOWS\system32\drivers\BS_I2cIo.sys
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE27bus.sys
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE27obex.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ccb24f8-d7d6-11db-8c83-00c026850b13}]
AutoRun\command- F:\setup.exe
directx\command- F:\DirectX\dxsetup.exe
setup
setup- Install MechCommander 2
setup\command- F:\setup.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-08-23 05:48:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-07 13:25:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-07 13:26:41
C:\ComboFix-quarantined-files.txt ... 2007-10-07 13:26
.
--- E O F ---

Grüsse

#4 Entferne auf C:\VundoFix Backups--->Papierkorb leeren

Arbeite mal Punkt 4 unter http://board.protecus.de/t23188.htm ab
__________
MfG Argus

#5 Hallo,

Hier die datfindbat Logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA2-FEC9

Verzeichnis von C:\WINDOWS\system32

09.10.2007 12:13 45.378 nvapps.xml
08.10.2007 23:43 6.837 hjjlm.ini
08.10.2007 19:41 6.705 hjjlm.bak2
08.10.2007 19:39 2.206 wpa.dbl
05.10.2007 21:52 51 CLR2DLL.SYS
05.10.2007 18:41 694.441 fxhxthnh.ini
05.10.2007 18:30 694.312 wpkibidn.ini
05.10.2007 10:07 279.552 swreg.exe
04.10.2007 19:01 6.363 hjjlm.bak1
04.10.2007 19:00 318.048 mljjh.dll
03.10.2007 20:34 55.593 rtvwa.ini
03.10.2007 18:40 15.857 rtvwa.bak2
03.10.2007 10:45 694.141 lexgecgf.ini
01.10.2007 22:15 103.736 PnkBstrB.exe
01.10.2007 19:34 693.952 nigqhtay.ini
01.10.2007 18:47 28.281 rtvwa.bak1
01.10.2007 18:46 43.383 hjllm.ini
01.10.2007 18:45 693.832 pktecsgn.ini
30.09.2007 13:11 693.712 lorvjsqc.ini
27.09.2007 23:48 15.488 hjllm.bak2
27.09.2007 20:05 693.472 nleanryx.ini
27.09.2007 19:25 6.480 kjkkj.tmp
24.09.2007 21:13 23.312 aybeg.ini
23.09.2007 12:32 6.480 aybeg.bak2
20.09.2007 21:38 6.440 hjllm.bak1
18.09.2007 18:53 15.196 jjjlm.ini
18.09.2007 18:53 9.475 orqss.ini
18.09.2007 11:27 6.858 jjjlm.bak2
16.09.2007 20:22 6.480 orqss.bak2
13.09.2007 19:51 6.440 orqss.bak1
12.09.2007 19:56 6.785 aybeg.bak1
11.09.2007 12:31 57.800 opqss.ini
11.09.2007 12:31 10.491 ybeeg.ini
10.09.2007 19:13 6.440 jjjlm.bak1
09.09.2007 21:19 6.440 jlkkj.tmp
09.09.2007 13:21 7.226 ybeeg.bak1
08.09.2007 13:14 6.812 opqss.bak1
08.09.2007 13:08 23.552 wvuvwwv.dll
27.08.2007 12:45 92.680 FNTCACHE.DAT
26.08.2007 13:23 10.752 BASSMOD.dll
26.08.2007 11:15 58.732 perfc009.dat
26.08.2007 11:15 392.432 perfh009.dat
26.08.2007 11:15 70.778 perfc007.dat
26.08.2007 11:15 405.448 perfh007.dat
26.08.2007 11:15 899.764 PerfStringBackup.INI
07.08.2007 21:53 66.872 PnkBstrA.exe
02.08.2007 21:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui

-----------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA2-FEC9

Verzeichnis von C:\DOKUME~1\BLACKD~1\LOKALE~1\Temp

09.10.2007 12:24 115.939 datfind.txt
09.10.2007 12:13 0 JET695A.tmp
09.10.2007 12:13 408 jusched.log
08.10.2007 23:30 54.272 ginstall.dll
08.10.2007 19:39 20.859 Turkish.bin
08.10.2007 19:39 20.608 Norwegian.bin
08.10.2007 19:39 24.446 Hungarian.bin
08.10.2007 19:39 18.436 Hebrew.bin
08.10.2007 19:39 21.562 Finnish.bin
08.10.2007 19:39 22.862 Czech.bin
08.10.2007 19:39 23.522 Portuguese(Brazil).bin
08.10.2007 19:39 22.606 Polish.bin
08.10.2007 19:39 23.467 Greek.bin
08.10.2007 19:39 20.733 Thai.bin
08.10.2007 19:39 19.506 Arabic.bin
08.10.2007 19:39 21.857 English.bin
08.10.2007 19:39 15.534 SimChin.bin
08.10.2007 19:39 24.654 Portuguese.bin
08.10.2007 19:39 22.684 SWEDISH.bin
08.10.2007 19:39 26.062 Spanish.bin
08.10.2007 19:39 24.638 Russian.bin
08.10.2007 19:39 25.824 Italian.bin
08.10.2007 19:39 24.274 German.bin
08.10.2007 19:39 25.665 French.bin
08.10.2007 19:39 16.913 TradChin.bin
08.10.2007 19:39 24.173 Dutch.bin
08.10.2007 19:39 21.343 Danish.bin
08.10.2007 19:39 19.048 Korean.bin
08.10.2007 19:39 22.809 Japanese.bin
07.10.2007 22:40 0 nvt1B.tmp
30 Datei(en) 724.704 Bytes
0 Verzeichnis(se), 195.446.427.648 Bytes frei

---------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA2-FEC9

Verzeichnis von C:\WINDOWS

09.10.2007 11:56 1.036.084 WindowsUpdate.log
09.10.2007 11:56 0 0.log
09.10.2007 11:55 2.048 bootstat.dat
08.10.2007 23:43 32.556 SchedLgU.Txt
05.10.2007 22:04 175.456 setupact.log
05.10.2007 21:37 772.565 setupapi.log
30.09.2007 14:13 106.595 wmsetup.log
30.09.2007 13:21 69 NeroDigital.ini
28.09.2007 09:06 135.168 catchme.exe
26.08.2007 11:16 128.669 tsoc.log
26.08.2007 11:16 15.249 ocmsn.log
26.08.2007 11:16 329.439 iis6.log
26.08.2007 11:16 60.644 ntdtcsetup.log
26.08.2007 11:16 102.931 comsetup.log
26.08.2007 11:16 1.374 imsins.log
26.08.2007 11:16 14.314 tabletoc.log
26.08.2007 11:16 28.628 KB927779.log
26.08.2007 11:16 19.337 MedCtrOC.log
26.08.2007 11:16 48.276 netfxocm.log
26.08.2007 11:16 157.055 ocgen.log
26.08.2007 11:16 13.849 msgsocm.log
26.08.2007 11:16 271.209 FaxSetup.log
26.08.2007 11:16 89.514 msmqinst.log
26.08.2007 11:16 14.299 updspapi.log
26.08.2007 11:16 1.374 imsins.BAK
26.08.2007 11:16 25.314 KB927802.log
26.08.2007 11:16 25.730 KB922819.log
26.08.2007 11:16 29.546 KB923414.log
26.08.2007 11:16 29.285 KB928255.log
26.08.2007 11:16 23.758 KB931784.log
26.08.2007 11:16 15.595 KB935448.log
26.08.2007 11:16 21.361 KB920685.log
26.08.2007 11:16 27.179 KB923980.log
26.08.2007 11:16 21.396 KB936021.log
26.08.2007 11:15 20.905 KB938828.log
26.08.2007 11:15 18.176 KB924667.log
26.08.2007 11:14 26.461 KB924270.log
26.08.2007 11:14 18.773 KB931261.log
26.08.2007 11:14 13.246 KB927891.log
26.08.2007 11:14 18.326 KB921503.log
26.08.2007 11:14 23.825 KB938829.log
26.08.2007 11:13 12.170 KB925398.log
26.08.2007 11:13 23.853 KB925902.log
26.08.2007 11:13 24.491 KB929123.log
26.08.2007 11:12 16.441 KB926436.log
26.08.2007 11:12 17.697 KB920872.log
26.08.2007 11:12 20.641 KB930178.log
26.08.2007 11:12 15.344 KB919007.log
26.08.2007 11:10 43.791 KB932168.log
26.08.2007 11:10 37.793 KB920213.log
26.08.2007 11:08 923 spupdsvc.log
26.08.2007 01:59 21.119 KB923191.log
26.08.2007 01:59 17.359 KB922582.log
26.08.2007 01:59 20.648 KB918118.log
26.08.2007 01:59 19.921 KB926255.log
26.08.2007 01:59 19.692 KB938127.log
26.08.2007 01:58 18.100 KB935840.log
26.08.2007 01:58 17.881 KB916595.log
26.08.2007 01:58 17.928 KB930916.log
26.08.2007 01:58 13.358 KB923689.log
26.08.2007 01:58 37.644 KB937143.log
26.08.2007 01:58 290.744 msxml4-KB936181-enu.LOG
26.08.2007 01:58 19.216 KB935839.log
26.08.2007 01:58 8.504 KB936782.log
26.08.2007 01:57 18.504 KB928843.log
26.08.2007 01:55 9.418 KB924496.log
22.08.2007 22:00 216 wiadebug.log
22.08.2007 20:18 50 wiaservc.log
22.08.2007 19:53 54.156 QTFont.qfn
16.08.2007 12:52 103.470 ntbtlog.txt

------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA2-FEC9

Verzeichnis von C:\WINDOWS\TEMP

------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA2-FEC9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

19.03.2007 19:36 65 desktop.ini

------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA2-FEC9

Verzeichnis von C:\

09.10.2007 12:32 0 sys.txt
09.10.2007 12:32 505 down.txt
09.10.2007 12:31 117 temp.txt
09.10.2007 12:30 8.160 windows.txt
09.10.2007 12:28 1.720 systemtemp.txt
09.10.2007 12:27 105.295 system32.txt
09.10.2007 11:55 2.145.386.496 pagefile.sys
07.10.2007 13:26 8.068 ComboFix.txt
07.10.2007 13:26 275 ComboFix-quarantined-files.txt

#6 Prüfe mal diese Datei(en) bei VirusTotal

C:\WINDOWS\system32\CLR2DLL.SYS

Entferne Hijack This 1.99.1 und installiere 2.0.2
http://board.protecus.de/t23188.htm
und poste nochmal ein Log
__________
MfG Argus

#7 Also bei VirusTotal wurde anscheinend nix gefunden

Datei CLR2DLL.SYS empfangen 2007.10.09 14:41:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

------------

Und hier der neue Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:25, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Black DeVil\Desktop\HiJackThis(2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {27632161-87F7-45B5-A9B2-6C955F3806E8} - C:\WINDOWS\system32\mljjh.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7764 bytes

#8 Entferne auf C: \Qoobox--->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {27632161-87F7-45B5-A9B2-6C955F3806E8} - C:\WINDOWS\system32\mljjh.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne auf C:\Programme\AskTBar

Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\hjjlm.ini
C:\WINDOWS\system32\hjjlm.bak2
C:\WINDOWS\system32\fxhxthnh.ini
C:\WINDOWS\system32\wpkibidn.ini
C:\WINDOWS\system32\hjjlm.bak1
C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\rtvwa.ini
C:\WINDOWS\system32\rtvwa.bak2
C:\WINDOWS\system32\lexgecgf.ini
C:\WINDOWS\system32\nigqhtay.ini
C:\WINDOWS\system32\rtvwa.bak1
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\pktecsgn.ini
C:\WINDOWS\system32\lorvjsqc.ini
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\nleanryx.ini
C:\WINDOWS\system32\kjkkj.tmp
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\aybeg.bak2
C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\jjjlm.ini
C:\WINDOWS\system32\orqss.ini
C:\WINDOWS\system32\jjjlm.bak2
C:\WINDOWS\system32\orqss.bak2
C:\WINDOWS\system32\orqss.bak1
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\ybeeg.ini
C:\WINDOWS\system32\jjjlm.bak1
C:\WINDOWS\system32\jlkkj.tmp
C:\WINDOWS\system32\ybeeg.bak1
C:\WINDOWS\system32\opqss.bak1
C:\WINDOWS\system32\wvuvwwv.dll

Registry keys to delete:
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8F4DF17-4BFA-4A76-B976-722675690452}]

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

Und ein log von Hijack This
__________
MfG Argus

#9 Ich galube der Virus ist gelöscht. Keine Meldung mehr und hab nach Avenger auch endlich diese Datei mit Hijackthis fixen können:

O2 - BHO: (no name) - {27632161-87F7-45B5-A9B2-6C955F3806E8} - C:\WINDOWS\system32\mljjh.dll

----

Aber um Nummer sicher zu gehen hier der Avenger Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ikdleeuc

*******************

Script file located at: \??\C:\WINDOWS\um^nfmib.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\hjjlm.ini deleted successfully.
File C:\WINDOWS\system32\hjjlm.bak2 deleted successfully.
File C:\WINDOWS\system32\fxhxthnh.ini deleted successfully.
File C:\WINDOWS\system32\wpkibidn.ini deleted successfully.
File C:\WINDOWS\system32\hjjlm.bak1 deleted successfully.


File C:\WINDOWS\system32\mljjh.dll not found!
Deletion of file C:\WINDOWS\system32\mljjh.dll failed!

Could not process line:
C:\WINDOWS\system32\mljjh.dll
Status: 0xc0000034

File C:\WINDOWS\system32\rtvwa.ini deleted successfully.
File C:\WINDOWS\system32\rtvwa.bak2 deleted successfully.
File C:\WINDOWS\system32\lexgecgf.ini deleted successfully.
File C:\WINDOWS\system32\nigqhtay.ini deleted successfully.
File C:\WINDOWS\system32\rtvwa.bak1 deleted successfully.
File C:\WINDOWS\system32\hjllm.ini deleted successfully.
File C:\WINDOWS\system32\pktecsgn.ini deleted successfully.
File C:\WINDOWS\system32\lorvjsqc.ini deleted successfully.
File C:\WINDOWS\system32\hjllm.bak2 deleted successfully.
File C:\WINDOWS\system32\nleanryx.ini deleted successfully.
File C:\WINDOWS\system32\kjkkj.tmp deleted successfully.
File C:\WINDOWS\system32\aybeg.ini deleted successfully.
File C:\WINDOWS\system32\aybeg.bak2 deleted successfully.
File C:\WINDOWS\system32\hjllm.bak1 deleted successfully.
File C:\WINDOWS\system32\jjjlm.ini deleted successfully.
File C:\WINDOWS\system32\orqss.ini deleted successfully.
File C:\WINDOWS\system32\jjjlm.bak2 deleted successfully.
File C:\WINDOWS\system32\orqss.bak2 deleted successfully.
File C:\WINDOWS\system32\orqss.bak1 deleted successfully.
File C:\WINDOWS\system32\aybeg.bak1 deleted successfully.
File C:\WINDOWS\system32\opqss.ini deleted successfully.
File C:\WINDOWS\system32\ybeeg.ini deleted successfully.
File C:\WINDOWS\system32\jjjlm.bak1 deleted successfully.
File C:\WINDOWS\system32\jlkkj.tmp deleted successfully.
File C:\WINDOWS\system32\ybeeg.bak1 deleted successfully.
File C:\WINDOWS\system32\opqss.bak1 deleted successfully.
File C:\WINDOWS\system32\wvuvwwv.dll deleted successfully.


Could not open registry key [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8F4DF17-4BFA-4A76-B976-722675690452}] for deletion
Deletion of registry key [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8F4DF17-4BFA-4A76-B976-722675690452}] failed!
Status: 0xc000003b


Completed script processing.

*******************

Finished! Terminate.

-------------------

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:31, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Black DeVil\Desktop\HiJackThis(2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7616 bytes

#10 Entferne auf C:\avenger\ backup.zip --->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Benutze ATF Cleaner sehe Anhang

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Um sicher zu gehen scanne mit DrWeb-CureIt!
http://board.protecus.de/t29350.htm

Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf " Download "
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\ Java entfernen!
Nachdem alles entfernt wurde ---> Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u3-windows-i586-p-s.exe ”


__________
MfG Argus

#11 Ok werd ich machen denke dann ist aber alles wieder ok oder?

Naja gut , ich lasse janschließend nochmall AntiVir durchlaufen und denke dann is das Problem behoben.

Vielen Dank Arnold für deine Hilfe, alleine wäre ich echt am verzweifeln gewesen und schön langsam wurden diese ewigen Virenscanner- Meldungen echt nervig.

Grüsse

#12 Gern geschehen
Gruss aus Holland
__________
MfG Argus