Google Suchergebnisse - falsche Weiterleitung

#1 Hallo,

sobald ich bei dem Suchergebniss von Google auf ein solches klicke, öffnet sich ein neues Fenster (IE6) mit einer Weiterleitung zu einer anderen Seite.

Dieses Fenster schließe ich dann wieder und klicke erneut den Link aus dem Suchergebnis an. Erneut öffnet sich ein neues Fenster und ich werde an eine andere Internetadresse weitergeleitet.

Nach dem dritten Versuch klappt´s dann einwandfrei mit der korrekten Weiterleitung im selben Fenster.

Dies passiert bei jedem Link aus der Suchfunktion.

Kann mir bitte jemand helfen, ob dies ein Virus oder Malware ist. Ich habe schon diverse Programme (Antivir, AdAware, Search&Destroy, ...) drüberlaufen lassen, aber ohne Erfolg.

Vielen Dank im voraus.
HotBuzz

#2 Arbeite bitte die Punkte aus diesem Thread ab: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo,

hier die Log-Files und vielen Dank schon einmal im voraus.


Combofix:
ComboFix 07-12-09.1 - Administrator 2007-12-10 21:07:39.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-10 bis 2007-12-10 ))))))))))))))))))))))))))))))
.

2007-12-25 21:24 . 2007-12-25 21:24 <DIR> d-------- C:\Programme\MSXML 4.0
2007-12-10 20:38 . 2007-12-10 20:38 <DIR> d-------- C:\Programme\Trend Micro
2007-12-10 18:56 . 2007-12-10 18:56 <DIR> d-------- C:\kav
2007-12-10 18:53 . 2007-12-10 18:54 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-12-10 18:53 . 2007-12-10 18:53 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-12-10 18:53 . 2007-12-10 18:53 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-12-10 18:53 . 2007-12-10 18:53 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-10 11:21 . 2007-12-10 11:28 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-10 11:21 . 2007-12-10 11:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools
2007-12-10 11:21 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-10 11:21 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-10 11:21 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-10 11:21 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-10 11:21 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-10 08:09 . 2007-12-10 08:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eBay
2007-12-10 08:06 . 2007-12-10 08:06 <DIR> d-------- C:\Programme\eBay
2007-12-10 08:06 . 2007-12-10 08:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\eBay
2007-12-03 07:18 . 2007-12-07 23:44 51,712 --a------ C:\WINDOWS\system32\e404d.dll
2007-11-28 17:15 . 2007-11-28 17:15 <DIR> d--hs---- C:\found.001
2007-11-27 14:07 . 2007-11-27 14:07 1,044,480 -ra------ C:\WINDOWS\system32\roboex32.dll
2007-11-27 14:07 . 2007-11-27 14:07 49,152 -ra------ C:\WINDOWS\system32\inetwh32.dll
2007-11-26 15:07 . 2007-11-26 15:07 <DIR> d--hs---- C:\found.000
2007-11-25 14:00 . 2007-12-26 08:46 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-25 14:00 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-25 12:10 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-11-25 12:10 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-11-25 12:10 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-11-25 12:10 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-10 07:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-02 22:50 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-11-02 22:50 286,720 ------w C:\WINDOWS\Setup1.exe
2007-10-25 16:55 8,495,616 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-14 13:21 48,928 ----a-w C:\WINDOWS\system32\drivers\Tetris.sys
2007-10-13 17:46 --------- d-----w C:\Programme\LiveUpdate
2007-10-13 16:03 137,344 ----a-w C:\WINDOWS\system32\drivers\litsgt.sys
2007-10-13 16:03 12,032 ----a-w C:\WINDOWS\system32\drivers\tansgt.sys
2007-10-08 18:55 14,336 ----a-w C:\WINDOWS\system32\svchost.exe
2007-10-08 18:55 14,336 ----a-w C:\WINDOWS\system32\dllcache\svchost.exe
2007-05-15 15:31 52,808 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_05_15_17_29_26_small.dmp.zip
2007-05-15 05:32 103,802 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_05_15_07_21_20_small.dmp.zip
2007-05-07 22:20 121,067 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_05_07_22_39_18_small.dmp.zip
2007-04-30 15:07 16,132,312 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_04_30_13_58_05_full.dmp.zip
2007-04-30 15:06 100,801 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_04_30_13_57_58_small.dmp.zip
2007-04-25 18:55 16,145,542 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_04_25_16_48_48_full.dmp.zip
2007-04-25 18:55 118,802 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_04_25_16_48_43_small.dmp.zip
2007-01-02 09:06 24,297 ----a-w C:\WINDOWS\Internet Logs\UpdClient_2nd_2007_01_02_09_45_09_small.dmp.zip
2007-01-02 09:06 24,284 ----a-w C:\WINDOWS\Internet Logs\UpdClient_2nd_2007_01_02_09_45_10_small.dmp.zip
2006-11-01 12:43 91,638 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_11_01_10_20_51_small.dmp.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 13:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 10:12]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-21 18:14]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2003-05-27 04:08]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15]
"Cmaudio"="RunDll32 cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:54]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 10:21]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2005-12-04 15:38]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"NvCplDaemon"="RUNDLL32.exe" [2004-11-11 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-11-11 13:00 C:\WINDOWS\system32\rundll32.exe]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-11-02 17:24]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-08-08 07:54]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"E404Helper"= {f008e106-e296-405c-8810-dde9cec8c34b} - e404d.dll [ ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ad2df61-52b9-11db-ba1e-806d6172696f}]
\Shell\AutoRun\command - G:\autorun.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-10 21:11:07
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\FFI]
"ImagePath"="C:\WINDOWS\system32\svchost.exe:exm.exe"
.
Zeit der Fertigstellung: 2007-12-10 21:13:18
.
--- E O F ---





HighJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:53, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Virus\HJT\HJT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: E404Helper - {f008e106-e296-405c-8810-dde9cec8c34b} - e404d.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6082 bytes




Logfiles datfind.bat:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist Win XP
Volumeseriennummer: B897-1444

Verzeichnis von C:\WINDOWS\system32

26.12.2007 08:42 189.000 FNTCACHE.DAT
25.12.2007 21:28 129.082 TZLog.log
10.12.2007 20:57 88.566 nvapps.xml
10.12.2007 20:57 55.081 vsconfig.xml
10.12.2007 18:53 2.550 Uninstall.ico
10.12.2007 18:53 1.406 Help.ico
10.12.2007 18:53 30.590 pavas.ico
10.12.2007 11:22 392.296 perfh009.dat
10.12.2007 11:22 58.596 perfc009.dat
10.12.2007 11:22 405.118 perfh007.dat
10.12.2007 11:22 70.580 perfc007.dat
10.12.2007 11:22 938.224 PerfStringBackup.INI
07.12.2007 23:44 51.712 e404d.dll
04.12.2007 01:00 136.704 swsc.exe
27.11.2007 14:07 49.152 inetwh32.dll
27.11.2007 14:07 1.044.480 roboex32.dll
26.11.2007 20:56 4.212 zllictbl.dat
26.11.2007 12:39 2.206 wpa.dbl
02.11.2007 00:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll
08.10.2007 19:55 14.336 svchost.exe
.
.
Datenträger in Laufwerk C: ist Win XP
Volumeseriennummer: B897-1444

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

10.12.2007 21:26 106.040 datfind.txt
10.12.2007 21:22 14.848 656222_10176_10176_11208.19169.tmp
10.12.2007 21:20 14.848 655952_11892_10176_10316.19169.tmp
10.12.2007 21:17 14.848 852388_11892_10176_12032.19169.tmp
4 Datei(en) 150.584 Bytes
0 Verzeichnis(se), 57.687.863.296 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Win XP
Volumeseriennummer: B897-1444

Verzeichnis von C:\WINDOWS

26.12.2007 08:47 36.417 MedCtrOC.log
26.12.2007 08:47 28.567 ehOCGen.log
26.12.2007 08:47 569.895 iis6.log
26.12.2007 08:47 172.767 comsetup.log
26.12.2007 08:47 105.004 ntdtcsetup.log
26.12.2007 08:47 1.393 imsins.log
26.12.2007 08:47 7.562 KB927891.log
26.12.2007 08:47 238.734 tsoc.log
26.12.2007 08:47 26.124 tabletoc.log
26.12.2007 08:47 28.855 ocmsn.log
26.12.2007 08:47 247.804 ocgen.log
26.12.2007 08:47 58.738 plusoc.log
26.12.2007 08:47 91.481 netfxocm.log
26.12.2007 08:47 26.126 msgsocm.log
26.12.2007 08:47 519.949 FaxSetup.log
26.12.2007 08:47 161.124 msmqinst.log
26.12.2007 08:47 29.587 updspapi.log
26.12.2007 08:44 923 spupdsvc.log
25.12.2007 22:09 1.393 imsins.BAK
25.12.2007 22:09 56.884 KB899587.log
25.12.2007 22:09 56.418 KB927779.log
25.12.2007 22:08 53.071 KB927802.log
25.12.2007 22:08 44.139 KB943460.log
25.12.2007 22:07 53.389 KB922819.log
25.12.2007 22:06 51.087 KB885835.log
25.12.2007 22:06 49.000 KB885836.log
25.12.2007 22:05 51.753 KB923414.log
25.12.2007 22:05 52.566 KB928255.log
25.12.2007 22:04 52.918 KB931784.log
25.12.2007 22:03 51.231 KB911927.log
25.12.2007 22:03 50.717 KB901017.log
25.12.2007 22:02 51.038 KB899591.log
25.12.2007 22:02 41.102 KB933729.log
25.12.2007 22:01 49.455 KB920685.log
25.12.2007 22:01 50.018 KB893756.log
25.12.2007 22:00 49.593 KB923980.log
25.12.2007 22:00 48.973 KB911280.log
25.12.2007 21:59 48.537 KB936021.log
25.12.2007 21:59 47.926 KB911562.log
25.12.2007 21:58 47.336 KB938828.log
25.12.2007 21:57 52.129 KB939653.log
25.12.2007 21:56 40.394 KB924667.log
25.12.2007 21:56 38.097 KB896423.log
25.12.2007 21:55 43.095 KB900485.log
25.12.2007 21:55 42.503 KB924270.log
25.12.2007 21:54 40.680 KB931261.log
25.12.2007 21:54 39.931 KB873339.log
25.12.2007 21:53 40.907 KB924496.log
25.12.2007 21:53 40.293 KB921503.log
25.12.2007 21:53 39.047 KB887472.log
25.12.2007 21:52 40.589 KB938829.log
25.12.2007 21:52 40.371 KB896358.log
25.12.2007 21:51 31.652 KB925398.log
25.12.2007 21:50 32.105 KB910437.log
25.12.2007 21:49 40.676 KB925902.log
25.12.2007 21:49 39.486 KB929123.log
25.12.2007 21:48 38.891 KB920670.log
25.12.2007 21:48 37.612 KB891781.log
25.12.2007 21:47 38.334 KB918439.log
25.12.2007 21:47 43.423 KB902400.log
25.12.2007 21:46 35.132 KB890046.log
25.12.2007 21:45 34.857 KB926436.log
25.12.2007 21:45 36.817 KB920872.log
25.12.2007 21:44 35.745 KB930178.log
25.12.2007 21:44 35.193 KB919007.log
25.12.2007 21:44 35.444 KB914388.log
25.12.2007 21:43 34.785 KB917344.log
25.12.2007 21:43 34.113 KB905414.log
25.12.2007 21:42 33.510 KB917953.log
25.12.2007 21:33 33.784 KB932168.log
25.12.2007 21:33 31.868 KB901214.log
25.12.2007 21:32 29.578 KB923191.log
25.12.2007 21:32 24.921 KB922582.log
25.12.2007 21:31 28.900 KB941202.log
25.12.2007 21:31 28.609 KB918118.log
25.12.2007 21:30 27.867 KB926255.log
25.12.2007 21:30 26.498 KB888302.log
25.12.2007 21:30 28.397 KB900725.log
25.12.2007 21:29 26.189 KB938127.log
25.12.2007 21:29 26.367 KB920213.log
25.12.2007 21:29 35.640 KB933360.log
25.12.2007 21:28 24.703 KB935840.log
25.12.2007 21:28 18.448 KB886185.log
25.12.2007 21:28 24.475 KB916595.log
25.12.2007 21:27 24.509 KB930916.log
25.12.2007 21:27 24.182 KB904706.log
25.12.2007 21:27 24.830 KB908531.log
25.12.2007 21:26 24.291 KB905749.log
25.12.2007 21:26 15.581 KB923689.log
25.12.2007 21:25 24.451 KB913580.log
25.12.2007 21:24 22.537 KB896428.log
25.12.2007 21:24 283.298 msxml4-KB936181-enu.LOG
25.12.2007 21:23 22.705 KB935839.log
25.12.2007 21:23 22.823 KB894391.log
25.12.2007 21:23 20.504 KB908519.log
25.12.2007 21:22 20.774 KB920683.log
25.12.2007 21:22 20.344 KB914389.log
25.12.2007 21:22 21.639 KB890859.log
25.12.2007 21:21 8.348 KB936782.log
25.12.2007 21:21 3.987 wmsetup.log
25.12.2007 21:20 17.864 KB928843.log
10.12.2007 21:16 1.797.388 WindowsUpdate.log
10.12.2007 21:10 227 system.ini
10.12.2007 20:57 0 0.log
10.12.2007 20:56 2.048 bootstat.dat
10.12.2007 20:54 32.642 SchedLgU.Txt
10.12.2007 18:54 113.031 setupapi.log
08.12.2007 03:32 141.824 catchme.exe
06.12.2007 17:34 50 wiaservc.log
06.12.2007 17:34 215 wiadebug.log
02.12.2007 19:13 12.862 EPISMG00.SWB
27.11.2007 15:35 116 NeroDigital.ini
25.11.2007 14:02 10.422 KB893803v2.log
25.11.2007 14:01 8.787 KB898461.log
02.11.2007 23:50 286.720 Setup1.exe
02.11.2007 23:50 73.216 ST6UNST.EXE
13.10.2007 19:25 0 setuperr.log
13.10.2007 19:25 0 setupact.log
13.10.2007 19:23 1.588 DirectX.log
19.09.2007 19:23 90.112 DUMP3d28.tmp
09.09.2007 17:15 393 wiso.ini
09.09.2007 17:07 2.956 tm.ini
04.09.2007 21:57 12 dirsaver.ini




Datenträger in Laufwerk C: ist Win XP
Volumeseriennummer: B897-1444

Verzeichnis von C:\WINDOWS\temp

10.12.2007 20:56 256 ZLT0548d.TMP
10.12.2007 20:56 256 ZLT05486.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 57.687.851.008 Bytes frei
.
.
.

#4 Aktualisiere bitte dein Antivir und stelle es ein, wie hier beschrieben: http://board.protecus.de/t23979.htm

Lasse deinen Rechner pruefen und poste den Antivir Report.

Teste folgende DAteien bei Jotti oder Virustotal

C:\WINDOWS\system32\e404d.dll
C:\WINDOWS\Setup1.exe
C:\WINDOWS\system32\svchost.exe

Poste die kompletten Ergebnisse.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hier die Scans:

Report von Antivir (gestern abend auf Platte C durchgeführt):

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 10. Dezember 2007 21:57

Es wird nach 965647 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Administrator
Computername: SVEN

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.10.2007 12:23:18
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.10.2007 12:23:17
LUKE.DLL : 7.0.5.3 147496 Bytes 21.10.2007 12:47:52
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.10.2007 12:23:21
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 12:23:24
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 12:23:24
ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30.11.2007 18:21:52
ANTIVIR3.VDF : 7.0.1.67 138752 Bytes 10.12.2007 17:58:55
AVEWIN32.DLL : 7.6.0.40 3064320 Bytes 09.12.2007 16:00:11
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 08:58:06
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.10.2007 12:23:17
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 08:58:06
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 15:05:37
AVREG.DLL : 7.0.1.6 30760 Bytes 06.10.2007 12:23:17
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.10.2007 12:23:11
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.10.2007 12:23:14
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 08:58:06
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.11.2007 11:33:59
RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 10:08:47
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.10.2007 12:23:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 10. Dezember 2007 21:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SFAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sfus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhLeAutoRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'point32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S10IC2.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDTrayApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'swdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svcntaux.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '38' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Win XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Desktop\Virus\Combofix\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
--> nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[WARNUNG] Die Datei wurde ignoriert.
C:\fixwareout\FindT\nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\NirCmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47cfae22.qua' verschoben!
C:\WINDOWS\system32\Tools\Restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Destart.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47d0b784.qua' verschoben!


Ende des Suchlaufs: Montag, 10. Dezember 2007 23:01
Benötigte Zeit: 1:04:37 min

Der Suchlauf wurde vollständig durchgeführt.

3570 Verzeichnisse wurden überprüft
112468 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
112463 Dateien ohne Befall
1042 Archive wurden durchsucht
2 Warnungen
1 Hinweise






C:\WINDOWS\system32\e404d.dll mit Jotti:
Service load: 0% 100%

File: e404d.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: e5c9b627a18024dfee55dd461dcad0ea
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT
Bit9 reports: File not found

Scanner results
Scan taken on 11 Dec 2007 13:41:18 (GMT)
A-Squared Found nothing
AntiVir Found ADSPY/Bho.404
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found AdWare.BHO.Ihbo
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/Agent.NNU
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found Mal/Heuri-E
VirusBuster Found nothing
VBA32 Found nothing

Last file scanned at least one scanner reported something about: addrrxjhhelp.dll (MD5: 6f31bedd1b0167ee4edd0af79fb2858f, size: 17746 bytes), detected by:

Scanner Malware name
A-Squared X
AntiVir TR/PSW.OnLiGames.jrs
ArcaVir X
Avast Win32:Agent-IYU
AVG Antivirus PSW.Generic5.ABZB
BitDefender X
ClamAV PUA.Packed.UPack
CPsecure X
Dr.Web Trojan.PWS.Wsgame.2398
F-Prot Antivirus X
F-Secure Anti-Virus Trojan-PSW.Win32.OnLineGames.khc
Fortinet X
Ikarus Trojan-PWS.Win32.Small.br
Kaspersky Anti-Virus Trojan-PSW.Win32.OnLineGames.khc
NOD32 a variant of Win32/PSW.OnLineGames.JOJ
Norman Virus Control W32/OnLineGames.ZRI
Panda Antivirus X
Rising Antivirus X
Sophos Antivirus Mal/EncPk-BW
VirusBuster X
VBA32 Embedded.Trojan-PSW.Win32.OnLineGames.jrs





C:\WINDOWS\system32\e404d.dll mitVirustotal:

Datei e404d.dll empfangen 2007.12.11 14:38:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.11.2 2007.12.11 -
AntiVir 7.6.0.40 2007.12.11 ADSPY/Bho.404
Authentium 4.93.8 2007.12.11 -
Avast 4.7.1098.0 2007.12.10 -
AVG 7.5.0.503 2007.12.10 -
BitDefender 7.2 2007.12.11 -
CAT-QuickHeal 9.00 2007.12.10 -
ClamAV 0.91.2 2007.12.11 -
DrWeb 4.44.0.09170 2007.12.11 -
eSafe 7.0.15.0 2007.12.10 Suspicious File
eTrust-Vet 31.3.5369 2007.12.11 -
Ewido 4.0 2007.12.11 -
FileAdvisor 1 2007.12.11 -
Fortinet 3.14.0.0 2007.12.11 -
F-Prot 4.4.2.54 2007.12.10 -
F-Secure 6.70.13030.0 2007.12.11 -
Ikarus T3.1.1.12 2007.12.11 -
Kaspersky 7.0.0.125 2007.12.11 -
McAfee 5182 2007.12.10 -
Microsoft 1.3007 2007.12.11 -
NOD32v2 2715 2007.12.11 a variant of Win32/Agent.NNU
Norman 5.80.02 2007.12.10 -
Panda 9.0.0.4 2007.12.10 -
Prevx1 V2 2007.12.11 E404Bho:Adware-b
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.11 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.12.07 Adware.BHO.gen
Symantec 10 2007.12.11 -
TheHacker 6.2.9.155 2007.12.10 -
VBA32 3.12.2.5 2007.12.10 -
VirusBuster 4.3.26:9 2007.12.11 -
Webwasher-Gateway 6.6.2 2007.12.11 Ad-Spyware.Bho.404
weitere Informationen
File size: 51712 bytes
MD5: e5c9b627a18024dfee55dd461dcad0ea
SHA1: 59da4543a612d857422a88d5cf0be4196466392e
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5E85115500B35FE5CA42006894D9F20073118560




C:\WINDOWS\Setup1.exe mit Jotti

Service load: 0% 100%

File: Setup1.exe
Status: OK(Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: e40041e0ca436c712332edaa9db7df08
Packers detected: -
Bit9 reports: No threat detected (more info)

Scanner results
Scan taken on 11 Dec 2007 13:48:17 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing


Last file scanned at least one scanner reported something about: gS!XP-Patch.exe (MD5: 94095088e085d6f977577f1b33e7ceb6, size: 10864 bytes), detected by:

Scanner Malware name
A-Squared X
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV PUA.Packed.UPack
CPsecure X
Dr.Web Tool.ASEye.2
F-Prot Antivirus X
F-Secure Anti-Virus X
Fortinet X
Ikarus Trojan-Dropper.Win32.Agent.ane
Kaspersky Anti-Virus X
NOD32 a variant of Win32/Tool.TPE.A application
Norman Virus Control W32/Suspicious_U.gen
Panda Antivirus X
Rising Antivirus X
Sophos Antivirus Mal/EncPk-BW
VirusBuster X
VBA32 X



C:\WINDOWS\Setup1.exe mit Virustotal

Datei Setup1.exe empfangen 2007.12.11 14:49:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 47 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.11.2 2007.12.11 -
AntiVir 7.6.0.40 2007.12.11 -
Authentium 4.93.8 2007.12.11 -
Avast 4.7.1098.0 2007.12.10 -
AVG 7.5.0.503 2007.12.10 -
BitDefender 7.2 2007.12.11 -
CAT-QuickHeal 9.00 2007.12.10 -
ClamAV 0.91.2 2007.12.11 -
DrWeb 4.44.0.09170 2007.12.11 -
eSafe 7.0.15.0 2007.12.10 -
eTrust-Vet 31.3.5369 2007.12.11 -
Ewido 4.0 2007.12.11 -
FileAdvisor 1 2007.12.11 -
Fortinet 3.14.0.0 2007.12.11 -
F-Prot 4.4.2.54 2007.12.10 -
F-Secure 6.70.13030.0 2007.12.11 -
Ikarus T3.1.1.12 2007.12.11 -
Kaspersky 7.0.0.125 2007.12.11 -
McAfee 5182 2007.12.10 -
Microsoft 1.3007 2007.12.11 -
NOD32v2 2715 2007.12.11 -
Norman 5.80.02 2007.12.10 -
Panda 9.0.0.4 2007.12.10 -
Prevx1 V2 2007.12.11 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.11 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.11 -
TheHacker 6.2.9.155 2007.12.10 -
VBA32 3.12.2.5 2007.12.10 -
VirusBuster 4.3.26:9 2007.12.11 -
Webwasher-Gateway 6.6.2 2007.12.11 -
weitere Informationen
File size: 286720 bytes
MD5: e40041e0ca436c712332edaa9db7df08
SHA1: deb8ead922f4f1acbadebf0db998f6ba2dc53db0
PEiD: -




C:\WINDOWS\system32\svchost.exe mit Jotti

Service load: 0% 100%

File: svchost.exe
Status: OK(Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: 65a819b121eb6fdab4400ea42bdffe64
Packers detected: -
Bit9 reports: No threat detected (more info)

Scanner results
Scan taken on 11 Dec 2007 13:52:57 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing



C:\WINDOWS\system32\svchost.exe mit Virustotal:

Datei svchost.exe empfangen 2007.12.11 14:55:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 41 und 59 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.11.2 2007.12.11 -
AntiVir 7.6.0.40 2007.12.11 -
Authentium 4.93.8 2007.12.11 -
Avast 4.7.1098.0 2007.12.10 -
AVG 7.5.0.503 2007.12.10 -
BitDefender 7.2 2007.12.11 -
CAT-QuickHeal 9.00 2007.12.10 -
ClamAV 0.91.2 2007.12.11 -
DrWeb 4.44.0.09170 2007.12.11 -
eSafe 7.0.15.0 2007.12.10 -
eTrust-Vet 31.3.5369 2007.12.11 -
Ewido 4.0 2007.12.11 -
FileAdvisor 1 2007.12.11 -
Fortinet 3.14.0.0 2007.12.11 -
F-Prot 4.4.2.54 2007.12.10 -
F-Secure 6.70.13030.0 2007.12.11 -
Ikarus T3.1.1.12 2007.12.11 -
Kaspersky 7.0.0.125 2007.12.11 -
McAfee 5182 2007.12.10 -
Microsoft 1.3007 2007.12.11 -
NOD32v2 2716 2007.12.11 -
Norman 5.80.02 2007.12.10 -
Panda 9.0.0.4 2007.12.10 -
Prevx1 V2 2007.12.11 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.11 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.11 -
TheHacker 6.2.9.155 2007.12.10 -
VBA32 3.12.2.5 2007.12.10 -
VirusBuster 4.3.26:9 2007.12.11 -
Webwasher-Gateway 6.6.2 2007.12.11 -
weitere Informationen
File size: 14336 bytes
MD5: 65a819b121eb6fdab4400ea42bdffe64
SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
PEiD: -


Noch eine Information zum Fehlerbild:
Der IE stürzt seit gestern auch immer mal wieder mit der Fehlermeldung "IEXPLORE.EXE hat ein Problem festgestellt und muss beendet werden." ab.
Ggf. kann dies ja zur Lösungsfindung des Problems helfen.

Ich sag vorab schon einmal DANKE.

#6 Hake bitte folgenden Eintrag bitte an und druecke fix checked:

O21 - SSODL: E404Helper - {f008e106-e296-405c-8810-dde9cec8c34b} - e404d.dll (file missing)

Starte neu und schau, ob der Eintrag verschwunden ist. Sollte das der Fall sein, mache einen Kontrollscan mit Kaspersky: http://www.kaspersky.com/de/virusscanner

Falls etwas gefunden wird, poste was, wenn nicht, dann bitte via www.windowsupdate.com den Rechner mit den wichtigen Updates aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter

#7 Der Eintrag konnte beim 2. Versuch entfernt werden; Kaspersky läuft.

Memory gecheckt = clean
wichtige Objekte gecheckt = clean (einige Dateien waren gesperrt und wurden übersprungen)

Festplatte C gescheckt = clean

Windows Update ist ebenso erfolgt.

Ich prüfe den Rechner nun nochmals eingehend und poste morgen abend den Stand der Dinge.
Soll ich auch nochmals die Log-Files posten oder ist das nicht notwendig wenn alles funktioniert ?

Danke erst einmal.

#8 Das kannst du dann ganz zum Abschluss noch machen.
__________
MfG Ralf
SEO-Spam Hunter

#9 Hat leider etwas gedauert, da ich die lezten Tage kaum zu Hause war.

Es funktioniert alles einwandfrei; nachfolgend nochmal die Log Files aus HiJackThis.

VIELEN DANK !!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:08:20, on 15.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5960 bytes