Wurm Virus? E-Mailprogramm outlook versendet selbsttändig e-mails

#1 Hallo seit einigen Tagen bekomme ich pro tag ca. 200 Mails mit dem vermerk das meine E-mails nicht zugestellt werden konnte. Daraus schliesse ich das mein Outlook selbständig E-Mails verschickt. kann mir jemand bei meinen scans helfen? Ich möchte wissen ob ich irgendwelche Viren oder Trojaner oder Würmer auf meinem PC habe.

ICh habe die Anweisungen zum scannen die hier im Forum unter Tipps beschrieben sind durchgeführt und hier sind die Logs:

1.Temporäre Datein beseitigt

2.Cobofix
ComboFix 08-02.05.3 - 2008-02-05 17:54:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.96 [GMT 1:00]
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-05 bis 2008-02-05 ))))))))))))))))))))))))))))))
.

2008-02-05 15:13 . 2008-02-05 15:30 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-05 15:13 . 2008-02-05 15:13 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-05 15:13 . 2008-02-05 15:53 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-05 15:13 . 2008-02-05 15:53 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-05 15:13 . 2008-02-05 15:53 1,406 --a------ C:\WINDOWS\system32\Help.ico

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2006-11-13 12:01 2,976 ----a-w D:\Programme\Report-Scan-20061113-130024.txt
2004-06-27 09:40 27 ----a-w D:\Programme\stinger.opt
2004-06-27 09:26 784,903 ----a-w D:\Programme\stinger.exe
2004-04-29 00:25 1,024 ----a-w C:\Dokumente und Einstellungen\MichaelP\updata.exe
2004-03-11 11:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe
2004-06-04 20:00 2,814 --sha-w C:\WINDOWS\system32\galga.dat



3. Highjackthis Logfiles

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:43, on 05.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Handspring\HOTSYNC.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hjt.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6475 bytes


4. datfind.bat

Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\system32

05.02.2008 15:53 2.550 Uninstall.ico
05.02.2008 15:53 1.406 Help.ico
05.02.2008 15:53 30.590 pavas.ico
05.02.2008 09:23 2.206 wpa.dbl
02.01.2008 19:21 17.642.616 MRT.exe
12.12.2007 15:10 387.268 TZLog.log
13.11.2007 12:31 60.416 tzchange.exe
07.11.2007 10:27 729.600 lsasrv.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:35 123.904 xpsp3res.dll
28.10.2007 09:07 320.094 perfh007.dat
28.10.2007 09:07 40.836 perfc009.dat
28.10.2007 09:07 49.174 perfc007.dat
28.10.2007 09:07 314.508 perfh009.dat
28.10.2007 09:07 732.342 PerfStringBackup.INI
25.10.2007 17:55 8.495.616 shell32.dll
25.10.2007 10:01 2.109.440 wmvcore.dll
25.10.2007 10:00 230.912 wmasf.dll

Ich hoffe jemand kann damit auch was anfangen...

Gruß Micky 36

#2 hi, kannst du das hjt-log erneut posten und das log der filelist bitte?

#3 Hi hier ist das HJT Logfile. und wo finde ich log der filelist ???

Gruß Micky

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:43, on 05.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Handspring\HOTSYNC.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hjt.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6475 bytes

#4 hi, du hast datfind.bat verwendet, erstelle mir damit ein neues log.

#5 Hi, okay zuerst habe ich eine neues HJT erstwellt hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:37, on 09.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\Handspring\HOTSYNC.EXE
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hjt.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6430 bytes


und jetzt das datfindbat

Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\system32

09.02.2008 10:37 2.206 wpa.dbl
05.02.2008 15:53 2.550 Uninstall.ico
05.02.2008 15:53 1.406 Help.ico
05.02.2008 15:53 30.590 pavas.ico
02.01.2008 19:21 17.642.616 MRT.exe
12.12.2007 15:10 387.268 TZLog.log
13.11.2007 12:31 60.416 tzchange.exe
07.11.2007 10:27 729.600 lsasrv.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:35 123.904 xpsp3res.dll
28.10.2007 09:07 320.094 perfh007.dat
28.10.2007 09:07 40.836 perfc009.dat
28.10.2007 09:07 49.174 perfc007.dat
28.10.2007 09:07 314.508 perfh009.dat
28.10.2007 09:07 732.342 PerfStringBackup.INI
25.10.2007 17:55 8.495.616 shell32.dll
25.10.2007 10:01 2.109.440 wmvcore.dll
25.10.2007 10:00 230.912 wmasf.dll


vielen Dank vorab.. Gruß micky

#6 wenn dann brauche ich schon alle verzeichnisse...

#7 Ahh jetzt habe ich verstanden...

Verzeichnis von C:\DOKUME~1\MichaelP\LOKALE~1\Temp

09.02.2008 10:57 102.327 datfind.txt
09.02.2008 10:52 512 ~DF340A.tmp
2 Datei(en) 102.839 Bytes
0 Verzeichnis(se), 326.840.320 Bytes frei


Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS

09.02.2008 10:40 1.890.067 WindowsUpdate.log
09.02.2008 10:40 46.628 KB942840.log
09.02.2008 10:40 861.902 KB917344.log
09.02.2008 10:40 141.478 KB938127.log
09.02.2008 10:39 47.184 KB942615.log
09.02.2008 10:32 0 0.log
09.02.2008 10:32 159 wiadebug.log
09.02.2008 10:32 50 wiaservc.log
09.02.2008 10:32 2.048 bootstat.dat
09.02.2008 06:44 32.618 SchedLgU.Txt
09.02.2008 06:36 116 NeroDigital.ini
09.02.2008 06:00 54.156 QTFont.qfn
05.02.2008 17:56 227 system.ini
05.02.2008 17:45 484 LEXSTAT.INI
05.02.2008 17:38 88.120 setupapi.log
29.01.2008 13:20 1.125 winamp.ini
26.01.2008 18:21 16.069 CDPlayer.ini
09.01.2008 10:12 1.199.279 iis6.log
09.01.2008 10:12 54.323 ocmsn.log
09.01.2008 10:12 485.763 tsoc.log
09.01.2008 10:12 364.223 comsetup.log
09.01.2008 10:12 52.786 tabletoc.log
09.01.2008 10:12 224.357 ntdtcsetup.log
09.01.2008 10:12 1.355 imsins.log
09.01.2008 10:12 12.066 KB941644.log
09.01.2008 10:12 58.961 medctroc.Log
09.01.2008 10:12 525.166 ocgen.log
09.01.2008 10:12 183.283 netfxocm.log
09.01.2008 10:12 52.756 msgsocm.log
09.01.2008 10:12 1.034.910 FaxSetup.log
09.01.2008 10:12 164.700 msmqinst.log
09.01.2008 10:12 1.355 imsins.BAK
09.01.2008 10:12 12.275 KB943485.log
14.12.2007 17:54 1.409 QTFont.for
12.12.2007 15:11 11.572 KB937894.log
12.12.2007 15:10 22.184 KB942763.log
12.12.2007 15:10 9.290 KB941569.log
12.12.2007 15:09 9.985 KB941568.log
12.12.2007 15:09 10.651 KB944653.log
11.12.2007 14:29 37.414 KB939653.log
04.12.2007 09:30 34.339 spupdsvc.log
03.12.2007 23:33 35.602 WgaNotify.log
03.12.2007 23:29 17.367 updspapi.log
19.11.2007 18:07 6.078 DPINST.LOG
14.11.2007 21:51 7.740 KB943460.log
19.10.2007 18:08 8.407 KB933729.log
19.10.2007 18:07 11.559 KB941202.log
08.10.2007 16:47 57.482 KB937143.log


Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\temp

09.02.2008 10:42 409 WGANotify.settings
09.02.2008 10:37 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 326.828.032 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.01.2008 22:12 296.336 rufsi.dll
15.01.2008 22:04 241 CabSA.inf
14.02.2007 15:30 144 setup.inf
24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
15.06.2006 17:33 1.132.192 EPUWALcontrol.dll
27.03.2006 12:00 5.019 swflash.inf
31.01.2005 14:43 539 EPUWALcontrol.inf
05.08.2004 23:43 78 toolbar.crc
06.02.2004 21:35 65 desktop.ini
25.08.2003 18:12 1.096 iuctl.inf
22.08.2003 21:10 226 opuc.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
29.05.2003 15:00 84.064 minesweeper.dll
29.05.2003 15:00 160.864 messengerstatsclient.dll
29.05.2003 14:00 77.408 msgrchkr.dll
12.05.2003 11:04 402 msxml4.inf
27.10.2002 19:32 3.036 wmv9dmo.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20 Datei(en) 1.907.219 Bytes
0 Verzeichnis(se), 326.823.936 Bytes frei

#8 ICh hoffe ich habe jetzt alles???
Gruß Micky

#9

Zitat

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während
dieser Scans soll(en):• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN
nicht vergessen)• nichts am Rechner getan werden• nach jedem Scan der Rechner neu gestartet werdenGmer scannen lassen• Lade
dir Gmer von [url=http://www.gmer.net/files.php]dieser Seite[/url] runter und entpacke es auf deinen Desktop.• Starte gmer.exe. Alle anderen Programme
sollen geschlossen sein.• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.• Wenn der Scan fertig ist klicke auf "Copy" um
das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.• Füge das Log aus der Zwischenablage in deine Antwort hier ein.Catchme
scannen lassen• Lade dir [url=http://files.thespykiller.co.uk/catchme.exe]Catchme[/url] runter auf deinen Desktop.• Starte Catchme.exe.
Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit
eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.• Das Log ist in catchme.log, füge es vollständig in deine Antwort
ein.RootkitRevealer scannen lassen• Lade [url=http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx]RootkitRevealer[/url]
runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.• Starte in diesem Ordner RootkitRevealer.exe.
Alle anderen Programme schließen.• Starte durch Klick auf "Scan".• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.Blacklight
scannen lassen• Lade [url=http://www.f-secure.com/security_center/]F-Secure Blacklight[/url] herunter in einen eigenen Ordner, z.B. C:\programme\blacklight.• Starte
in diesem Ordner fsbl.exe. Alle anderen Programme schließen.• Klick "I accept the agreement", "next", "Scan".• Wenn der Scan fertig ist beende
Blacklight mit "Close".• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.
[size="3"]Scanner wieder einschalten, bevor Du ins Netz gehst![/size]

-> Nun bitte alle Logs posten.