Virus "Warning Spyware detected on your computer!" auf Desktop, wie entfernen?

#61 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\tibsxmxa.exe" deleted successfully.
File "C:\WINDOWS\system32\rezcfyvw.exe" deleted successfully.
File "C:\WINDOWS\system32\alwxyvyv.exe" deleted successfully.
Folder "C:\Programme\ldrfkee" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wzcvqnyv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.








ich habe danach nochmal den mbam drüber laufen lassen, der 17 viren gefunden hat. die habe ich dann gelöscht und der hat den pc neu gestartet.
danach war nur noch der bildschirm blau und die warnung ist weg!!!
habe dann nochmal den mbam drüber rauschen lassen und der hat nichts mehr gefunden! siehe ganz unten den report von mbam!!!
zonealarm meldet mir aber immer noch folgende programme, welche auf das internet zugreifen wollen:
lmpqimhq.exe
....und noch andere, die natürlich jetzt nicht aufs internet zugreifen, wenn ich es will!!!
was soll ich jetzt tun?
ist mein pc jetzt wirklich wieder frei von viren, oder sollte ich den ganzen durchgang nochmal machen?


Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

13:04:04 07.08.2008
mbam-log-8-7-2008 (13-04-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44349
Laufzeit: 4 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#62 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Und download ComboFix nochmal und poste das Log
__________
MfG Argus

#63 ComboFix 08-08-06.02 - Andre 2008-08-07 13:46:17.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1394 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-07 bis 2008-08-07 ))))))))))))))))))))))))))))))
.

2008-08-07 10:40 . 2008-08-07 10:40 90,112 --a------ C:\WINDOWS\system32\lmpqjmhq.exe
2008-08-07 10:29 . 2008-08-07 10:29 <DIR> d-------- C:\Programme\Trend Micro
2008-08-07 09:33 . 2008-08-07 09:33 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 09:33 . 2008-08-07 09:33 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Malwarebytes
2008-08-07 09:33 . 2008-08-07 09:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-07 09:33 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 09:33 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-05 13:14 . 2008-08-05 13:38 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\BBMSDiamond
2008-07-30 08:44 . 2008-08-07 12:55 4,365 --a------ C:\WINDOWS\system32\OODBS.lor
2008-07-29 14:04 . 2008-07-29 14:04 <DIR> d-------- C:\WINDOWS\system32\oodag
2008-07-29 12:48 . 2008-07-29 12:48 <DIR> d-------- C:\Programme\OO Software
2008-07-24 10:03 . 2008-07-24 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Microsoft.Office.2007.Enterprise.Keygen.Only-MiCROSOFT
2008-07-21 08:15 . 2005-11-15 03:07 131,072 --a------ C:\WINDOWS\_detmp.2
2008-07-21 08:15 . 2008-07-20 13:28 76,104 --a------ C:\WINDOWS\_detmp.1
2008-07-20 13:48 . 2008-07-20 13:49 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\FRITZ!
2008-07-20 13:27 . 2008-07-21 08:15 <DIR> d-------- C:\Programme\FRITZ!DSL
2008-07-20 13:27 . 2008-07-20 13:27 <DIR> d-------- C:\Programme\FRITZ!BoxPrint
2008-07-20 13:27 . 2006-12-14 13:42 69,120 -ra------ C:\WINDOWS\system32\avmadd32.dll
2008-07-20 13:27 . 2006-05-29 01:00 16,384 -ra------ C:\WINDOWS\system32\avmprmon.dll
2008-07-20 13:26 . 2008-07-20 13:27 <DIR> d-------- C:\Programme\FRITZ!Box
2008-07-14 12:13 . 2008-08-07 13:49 3,686,432 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-14 12:13 . 2008-08-07 12:55 44,816 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-14 12:08 . 2008-07-14 12:08 <DIR> d-------- C:\Programme\Zone Labs
2008-07-11 22:52 . 2008-06-20 12:45 360,320 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2008-07-11 22:52 . 2008-06-20 11:52 225,920 --a------ C:\WINDOWS\system32\drivers\tcpip6.sys
2008-07-11 22:52 . 2008-06-20 12:44 138,368 --a------ C:\WINDOWS\system32\drivers\afd.sys
2008-07-09 09:37 . 2008-07-11 10:09 <DIR> d-------- C:\Programme\COMODO
2008-07-09 09:37 . 2008-07-11 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Comodo

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 11:10 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-07 10:43 1,158,440 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-08-05 11:38 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\uTorrent
2008-07-28 13:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-28 13:36 --------- d-----w C:\Programme\Microsoft Small Business
2008-07-14 19:03 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\ICQ
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 07:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2008-07-09 07:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2008-07-09 07:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-07-09 07:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-08 17:47 --------- d-----w C:\Programme\DivX
2008-07-01 19:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-01 19:51 --------- d-----w C:\Programme\ICQ6
2008-06-28 06:46 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\skypePM
2008-06-28 06:46 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Skype
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-14 17:09 --------- d-----w C:\Programme\BusspurAVV2008so
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-06-05 14:37 173,309,054 ----a-w C:\Dokumente und Einstellungen\Andre\Mark Medlock - Mr. Lonely (full album@192kbits and videos).zip
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2008-03-03 13:35 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"UtilMnt"="C:\WINDOWS\system32\lmpqjmhq.exe" [2008-08-07 10:40 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="C:\Windows\RUNXMLPL.exe" [2007-04-21 02:56 20480]
"IAAnotif"="C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 13:00 174872]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 16:32 761945]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 19:51 53248]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 05:00 455168]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-06-13 12:56 142104]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-06-13 12:55 162584]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-06-13 12:55 138008]
"Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2007-03-02 12:25 208896]
"ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 12:44 475136]
"Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 23:12 579584]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-05-28 16:56 342528]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 15:07 421888]
"PLFSet"="C:\WINDOWS\PLFSet.dll" [2007-04-24 12:49 45056]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 14:16 185896]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16:32 16132608 C:\WINDOWS\RTHDCPL.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 05:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-01-02 21:58:20 45056]
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2007-04-01 10:02:38 568176]
Service Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2000-08-06 01:03:20 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 14:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 19:08]
S2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 10:07]
S3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;C:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-12-09 11:40]

*Newly Created Service* - UBHELPER
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Mozilla\Firefox\Profiles\6r9lkl20.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.borussia.de/de/home,2,0.html


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 13:49:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-07 13:51:14
ComboFix-quarantined-files.txt 2008-08-07 11:51:06
ComboFix2.txt 2008-08-07 08:27:05

Pre-Run: 17 Verzeichnis(se), 52,230,795,264 Bytes frei
Post-Run: 21 Verzeichnis(se), 52,203,712,512 Bytes frei

162 --- E O F --- 2008-07-13 19:09:47

#64 Hallo hsman

fixe mit hijackThis

O4 - HKCU\..\Run: [UtilCom] "C:\WINDOWS\system32\lmpqjmhq.exe

kopiere in den Avenger

Zitat

Folders to delete:
C:\Dokumente und Einstellungen\Andre\Microsoft.Office.2007.Enterprise.Keygen.Only-MiCROSOFT Files to delete:
C:\WINDOWS\system32\lmpqjmhq.exe

wende zoek an + poste den report
http://virus-protect.org/artikel/tools/zoek.html
__________
MfG Sabina

rund um die PC-Sicherheit

#65 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Dokumente und Einstellungen\Andre\Microsoft.Office.2007.Enterprise.Keygen.Only-MiCROSOFT" deleted successfully.
File "C:\WINDOWS\system32\lmpqjmhq.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.






und zoek log:



======C:\WINDOWS====
----a-w 0 2008-08-07 13:32:02 C:\WINDOWS\0.log
--s-a-w 2,048 2008-08-07 13:32:00 C:\WINDOWS\bootstat.dat
----a-w 12 2008-08-07 13:31:03 C:\WINDOWS\bthservsdp.dat
----a-w 534 2008-08-07 13:32:27 C:\WINDOWS\launApp.log
----a-w 4,216 2008-08-07 13:32:16 C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
----a-w 1,276 2008-07-08 17:47:17 C:\WINDOWS\mozver.dat
----a-w 69 2008-08-05 12:36:32 C:\WINDOWS\NeroDigital.ini
----a-w 151 2008-07-09 20:35:52 C:\WINDOWS\PhotoSnapViewer.INI
----a-w 2,184 2008-08-07 13:32:24 C:\WINDOWS\PreLaunch.log
----a-w 53,248 2008-08-07 11:51:17 C:\WINDOWS\PSEXESVC.EXE
----a-w 1,409 2008-04-18 07:18:37 C:\WINDOWS\QTFont.for
---ha-w 54,156 2008-05-02 10:03:47 C:\WINDOWS\QTFont.qfn
----a-w 32,622 2008-08-07 13:31:03 C:\WINDOWS\SchedLgU.Txt
----a-w 227 2008-08-07 11:49:37 C:\WINDOWS\system.ini
----a-w 159 2008-08-07 13:32:15 C:\WINDOWS\wiadebug.log
----a-w 50 2008-08-07 13:32:15 C:\WINDOWS\wiaservc.log
----a-w 661 2008-07-28 13:39:57 C:\WINDOWS\win.ini
----a-w 1,346,697 2008-08-07 13:33:09 C:\WINDOWS\WindowsUpdate.log
----a-w 75,248 2008-07-09 07:05:20 C:\WINDOWS\zllsputility.exe
----a-w 42,384 2008-07-09 07:05:28 C:\WINDOWS\zllsputility_loc0407.dll
----a-w 76,104 2008-07-20 11:28:00 C:\WINDOWS\_detmp.1

Entries: 21 (19)
Directories: 0 Files: 21
Bytes: 1,693,455 Blocks: 3,318
======C:\WINDOWS\system32=====
----a-w 1,023,488 2008-04-21 07:01:05 C:\WINDOWS\System32\browseui.dll
----a-w 152,064 2008-04-21 07:01:05 C:\WINDOWS\System32\cdfview.dll
----a-w 1,056,256 2008-04-21 07:01:06 C:\WINDOWS\System32\danim.dll
----a-w 148,992 2008-06-20 17:39:48 C:\WINDOWS\System32\dnsapi.dll
----a-w 357,888 2008-04-21 07:01:06 C:\WINDOWS\System32\dxtmsft.dll
----a-w 205,312 2008-04-21 07:01:06 C:\WINDOWS\System32\dxtrans.dll
----a-w 55,808 2008-04-21 07:01:06 C:\WINDOWS\System32\extmgr.dll
----a-w 339,440 2008-07-29 05:09:36 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 251,392 2008-04-21 07:01:06 C:\WINDOWS\System32\iepeers.dll
----a-w 21,904 2008-07-09 07:05:26 C:\WINDOWS\System32\imsinstall_loc0407.dll
----a-w 17,808 2008-07-09 07:05:26 C:\WINDOWS\System32\imslsp_install_loc0407.dll
----a-w 96,768 2008-04-21 07:01:06 C:\WINDOWS\System32\inseng.dll
----a-w 16,384 2008-04-21 07:01:06 C:\WINDOWS\System32\jsproxy.dll
----a-w 1,044,480 2008-06-11 00:04:26 C:\WINDOWS\System32\libdivx.dll
----a-w 796,048 2008-07-09 07:05:08 C:\WINDOWS\System32\libeay32_0.9.6l.dll
----a-w 17,972,344 2008-06-25 16:15:46 C:\WINDOWS\System32\MRT.exe
----a-w 3,080,704 2008-04-21 07:01:08 C:\WINDOWS\System32\mshtml.dll
----a-w 449,024 2008-04-21 07:01:09 C:\WINDOWS\System32\mshtmled.dll
----a-w 146,432 2008-04-21 07:01:09 C:\WINDOWS\System32\msrating.dll
----a-w 532,480 2008-04-21 07:01:10 C:\WINDOWS\System32\mstime.dll
----a-w 247,296 2008-06-20 17:39:48 C:\WINDOWS\System32\mswsock.dll
----a-w 4,656 2008-08-07 13:31:57 C:\WINDOWS\System32\OODBS.lor
----a-w 111,636 2008-05-26 09:00:05 C:\WINDOWS\System32\perfc007.dat
----a-w 89,400 2008-05-26 09:00:05 C:\WINDOWS\System32\perfc009.dat
----a-w 503,310 2008-05-26 09:00:05 C:\WINDOWS\System32\perfh007.dat
----a-w 472,542 2008-05-26 09:00:05 C:\WINDOWS\System32\perfh009.dat
----a-w 1,135,678 2008-05-26 09:00:05 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 39,424 2008-04-21 07:01:10 C:\WINDOWS\System32\pngfilt.dll
----a-w 1,293,312 2008-05-07 05:14:45 C:\WINDOWS\System32\quartz.dll
----a-w 1,494,528 2008-04-21 07:01:11 C:\WINDOWS\System32\shdocvw.dll
----a-w 474,624 2008-04-21 07:01:12 C:\WINDOWS\System32\shlwapi.dll
----a-w 200,704 2008-06-11 00:04:26 C:\WINDOWS\System32\ssldivx.dll
----a-w 617,984 2008-04-21 07:01:13 C:\WINDOWS\System32\urlmon.dll
----a-w 358,382 2008-08-07 13:32:05 C:\WINDOWS\System32\vsconfig.xml
----a-w 83,432 2008-07-09 07:05:10 C:\WINDOWS\System32\vsdata.dll
----a-w 394,952 2008-07-09 07:05:22 C:\WINDOWS\System32\vsdatant.sys
----a-w 157,160 2008-07-09 07:05:10 C:\WINDOWS\System32\vsinit.dll
----a-w 103,912 2008-07-09 07:05:10 C:\WINDOWS\System32\vsmonapi.dll
----a-w 275,944 2008-07-09 07:05:10 C:\WINDOWS\System32\vspubapi.dll
----a-w 71,144 2008-07-09 07:05:10 C:\WINDOWS\System32\vsregexp.dll
----a-w 472,552 2008-07-09 07:05:12 C:\WINDOWS\System32\vsutil.dll
----a-w 54,672 2008-07-09 07:05:28 C:\WINDOWS\System32\vsutil_loc0407.dll
----a-w 46,568 2008-07-09 07:05:12 C:\WINDOWS\System32\vswmi.dll
----a-w 99,816 2008-07-09 07:05:12 C:\WINDOWS\System32\vsxml.dll
----a-w 665,088 2008-04-21 07:01:13 C:\WINDOWS\System32\wininet.dll
----a-w 1,158 2008-08-02 12:15:15 C:\WINDOWS\System32\wpa.dbl
----a-w 374,272 2008-04-17 11:03:46 C:\WINDOWS\System32\xpsp3res.dll
----a-w 83,432 2008-07-09 07:05:12 C:\WINDOWS\System32\zlcomm.dll
----a-w 71,144 2008-07-09 07:05:12 C:\WINDOWS\System32\zlcommdb.dll
---h--w 4,212 2008-07-14 10:11:33 C:\WINDOWS\System32\zllictbl.dat
----a-w 1,086,952 2008-07-09 07:05:16 C:\WINDOWS\System32\zpeng24.dll

Entries: 51 (50)
Directories: 0 Files: 51
Bytes: 38,854,902 Blocks: 75,897
======C:\WINDOWS\system32\drivers=====
----a-w 138,368 2008-06-20 10:44:38 C:\WINDOWS\System32\drivers\afd.sys
----a-w 273,024 2008-06-14 17:57:40 C:\WINDOWS\System32\drivers\bthport.sys
--sha-w 3,715,104 2008-08-07 13:32:39 C:\WINDOWS\System32\drivers\fidbox.dat
--sha-w 45,584 2008-08-07 13:31:23 C:\WINDOWS\System32\drivers\fidbox.idx
----a-w 17,144 2008-07-30 18:07:52 C:\WINDOWS\System32\drivers\mbam.sys
----a-w 38,472 2008-07-30 18:07:56 C:\WINDOWS\System32\drivers\mbamswissarmy.sys
----a-w 202,752 2008-05-08 12:28:49 C:\WINDOWS\System32\drivers\rmcast.sys
----a-w 360,320 2008-06-20 10:45:13 C:\WINDOWS\System32\drivers\tcpip.sys
----a-w 225,920 2008-06-20 09:52:06 C:\WINDOWS\System32\drivers\tcpip6.sys

Entries: 9 (7)
Directories: 0 Files: 9
Bytes: 5,016,688 Blocks: 9,804
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
----a-w 1,260 2008-08-07 13:31:40 C:\avenger.txt
----a-w 11,914 2008-08-07 11:51:15 C:\ComboFix.txt
--sha-w 2,137,444,352 2008-08-07 13:31:58 C:\hiberfil.sys
--sha-w 1,598,029,824 2008-08-07 13:31:57 C:\pagefile.sys

Entries: 4 (2)
Directories: 0 Files: 4
Bytes: 3,735,487,350 Blocks: 7,295,875
======C:\Dokumente und Einstellungen\Andre\Anwendungsdaten======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\Andre======
----a-w 104 2008-08-05 12:42:49 C:\Dokumente und Einstellungen\Andre\default.pls
----a-w 173,309,054 2008-06-05 14:37:19 C:\Dokumente und Einstellungen\Andre\Mark Medlock - Mr. Lonely (full album@192kbits and videos).zip
---ha-w 4,718,592 2008-08-07 13:31:23 C:\Dokumente und Einstellungen\Andre\NTUSER.DAT
---ha-w 32,768 2008-08-07 13:34:18 C:\Dokumente und Einstellungen\Andre\ntuser.dat.LOG
--sh--w 190 2008-08-07 13:31:01 C:\Dokumente und Einstellungen\Andre\ntuser.ini

Entries: 5 (2)
Directories: 0 Files: 5
Bytes: 178,060,708 Blocks: 347,777
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============

#66 ««
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

+
poste ein neues log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#67 SDFix: Version 1.213
Run by Andre on 07.08.2008 at 15:49

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 15:53:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001c26e77dc2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:9c,33,95,21,93,78,05,d0,6d,9b,7a,d5,59,08,62,b2,78,cc,3e,f7,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a9,d6,e2,3f,66,e3,8d,69,49,2e,bf,f6,17,75,05,85,9f,..
"khjeh"=hex:49,61,69,a7,41,a4,43,e5,f1,ec,fe,b8,c9,f1,24,76,73,47,bc,7a,cb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:94,b4,f3,63,99,a4,b4,3e,ae,22,9f,34,fb,3c,16,78,0f,b5,5b,28,e7,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001c26e77dc2]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:9c,33,95,21,93,78,05,d0,6d,9b,7a,d5,59,08,62,b2,78,cc,3e,f7,73,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a9,d6,e2,3f,66,e3,8d,69,49,2e,bf,f6,17,75,05,85,9f,..
"khjeh"=hex:49,61,69,a7,41,a4,43,e5,f1,ec,fe,b8,c9,f1,24,76,73,47,bc,7a,cb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:94,b4,f3,63,99,a4,b4,3e,ae,22,9f,34,fb,3c,16,78,0f,b5,5b,28,e7,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="8192FA4B69204DFA136DA64AB46F24
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000074
"TracesSuccessful"=dword:00000009

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"="C:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe:*:Enabled:CyberLink PowerDVD"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"="C:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.0"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :



Files with Hidden Attributes :

Fri 22 Feb 2008 72 ..SH. --- "C:\WINDOWS\S5206CCFB.tmp"
Fri 10 Aug 2007 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Fri 10 Aug 2007 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Fri 10 Aug 2007 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Sat 9 Feb 2008 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Sun 13 Jan 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT2.tmp"

Finished!












hijack log:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:28, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOKUME~1\Andre\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\WINDOWS\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9899 bytes

#68 Hallo hsman

es sollte wieder alles i.o sein.
mache noch einen Onlinescan mit f-secure + poste den report hier
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#69 Danke schonmal an alle, die mir geholfen haben, werde jetzt noch den onlinescan durchführen!!!
Aber "Hut ab!!!" danke!!!!



**********************************************************************************
ANALYSIS: 2008-08-08 16:58:34
PROTECTIONS: 1
MALWARE: 15
SUSPECTS: 3
Yes No C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Mozilla\Firefox\Profiles\6r9lkl20.default\cookies.txt
[.adserver.easyad.info/]
;===================================
SUSPECTS
Sent Location }
;============================================================
No C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe }
No C:\Dokumente und Einstellungen\Andre\Eigene Dateien\Nero v8.1.1.0-crazikill3r.rar[Nero v8.1.1.0\Nero 8 (keygen).exe]
No D:\Programme\Nero v8.1.1.0\Nero 8 (keygen).exe }

VULNERABILITIES
Id Severity Description }
;====================================================================================
150243 HIGH MS07-008 }
126087 HIGH MS06-046 }
;

#70 Hallo zusammen,

habe das gleiche problem mit meinem rechner. könnt ihr mir bitte mit dem problem weiterhelfen. habe bereits CCleaner drüberlaufen lassen und mit combifix und hijack log dateien erstellt.

grüße

dschapsi

hier die combifix log datei:

ComboFix 08-08-12.01 - pc2898 13.08.2008 15:43:56.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.1488 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\pc2898\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINNT\system32\blphcjlhj0e981.scr
C:\WINNT\system32\lphcjlhj0e981.exe
C:\WINNT\system32\mdm.exe
C:\WINNT\system32\phcjlhj0e981.bmp
C:\WINNT\system32\regwiz.exe
C:\WINNT\system32\regwizc.dll
C:\WINNT\Web\default.htt

----- BITS: Eventuell infizierte Webseiten -----

//nts054:8530
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 ))))))))))))))))))))))))))))))
.

2008-08-13 15:35 . 08-08-13 15:35 <DIR> d-------- C:\Programme\CCleaner
2008-08-13 15:17 . 08-08-13 15:17 <DIR> d-------- C:\Programme\Trend Micro
2008-08-13 13:22 . 08-08-13 13:22 <DIR> d-------- C:\WINNT\Content.IE5
2008-08-13 12:57 . 08-08-13 12:57 <DIR> d-------- C:\TEMP\Infizierte_Dateien
2008-07-31 19:11 . 08-07-31 19:19 <DIR> d-------- C:\Programme\ICQLite
2008-07-31 19:11 . 08-07-31 19:12 <DIR> d-------- C:\Dokumente und Einstellungen\pc2898\Anwendungsdaten\ICQ
2008-07-31 14:27 . 08-07-31 14:28 <DIR> d-------- C:\TEMP\CDM
2008-07-17 09:05 . 08-07-17 09:05 <DIR> d-------- C:\Programme\Lexmark
2008-07-17 09:00 . 08-07-17 09:00 8,521 --a------ C:\WINNT\lmpcl2a.ini
2008-07-15 12:30 . 08-07-15 12:30 <DIR> d-------- C:\Programme\Lexmark_HostCD
2008-07-15 12:30 . 08-08-12 16:28 3,285 --a------ C:\WINNT\system32\LexFiles.usr
2008-07-15 12:30 . 08-07-15 12:30 1,983 --a------ C:\WINNT\system32\LexFiles.ulf
2008-07-15 08:34 . 08-08-13 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\pc2898\Anwendungsdaten\skypePM
2008-07-15 08:34 . 08-07-15 08:34 48 --ah----- C:\WINNT\system32\ezsidmv.dat
2008-07-15 08:29 . 08-07-15 08:29 <DIR> d-------- C:\Programme\Skype
2008-07-15 08:29 . 08-07-15 08:29 <DIR> d-------- C:\Programme\Google
2008-07-15 08:29 . 08-07-15 08:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-15 08:29 . 08-08-13 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\pc2898\Anwendungsdaten\Skype
2008-07-15 08:29 . 08-07-15 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-07-15 07:32 . 08-07-15 07:32 <DIR> d-------- C:\Programme\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 11:47 --------- d-----w C:\Dokumente und Einstellungen\pc2898\Anwendungsdaten\U3
2008-07-22 12:53 --------- d---a-w C:\Programme\VLC
2008-07-15 05:32 --------- d-----w C:\Programme\Java
2008-07-12 12:07 --------- d-----w C:\Dokumente und Einstellungen\wassner\Anwendungsdaten\Intel
2008-06-21 14:24 --------- d-----w C:\Programme\PicGrab
2008-06-21 13:42 --------- d-----w C:\Programme\Free Download Manager
2008-06-20 13:38 --------- d-----w C:\Dokumente und Einstellungen\pc2898\Anwendungsdaten\gtopala
2008-06-19 14:07 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShrd
2008-06-19 14:06 --------- d-----w C:\Dokumente und Einstellungen\dujmic\Anwendungsdaten\InstallShield
2007-04-10 07:23 271 ---ha-w C:\Programme\desktop.ini
2007-04-10 07:23 22,080 ---ha-w C:\Programme\folder.htt
2003-06-20 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
1999-03-11 15:22 99,840 ----a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 00:53 70,144 ----a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 00:53 48,640 ----a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 00:53 31,744 ----a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 00:53 186,368 ----a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 00:53 17,920 ----a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [08-06-03 15:08 21718312]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [08-07-15 08:29 171448]
"internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [04-12-03 21:00 344064]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [05-05-27 11:24 310272]
"McAfeeUpdaterUI"="C:\Programme\McAfee\Common Framework\UdaterUI.exe" [07-10-25 15:06 136512]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" [04-09-22 20:00 94208]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" [03-10-07 09:48 147514]
"DLA"="C:\WINNT\System32\DLA\DLACTRLW.EXE" [05-09-08 05:20 122940]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [04-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [04-07-27 16:50 81920]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" [04-04-26 08:04 53248]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [08-06-10 04:27 144784]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [08-01-16 00:54 37376]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [08-01-11 23:16 39792]
"MBoxUtil Clean"="C:\Programme\Konica Minolta\BOX Utility\BoxUtil.exe" [07-12-11 11:21 610304]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [04-10-30 15:59 385024]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [07-02-08 01:13 774168]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [07-02-08 01:12 488984]
"Synchronization Manager"="mobsync.exe" [03-06-20 14:00 112400 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-06-20 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDisconnect"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
04-09-07 17:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
05-03-01 19:49 24672 C:\WINNT\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\NetInst\NiAMH.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.AP41"= APmpg4v1.dll
"VIDC.DIV3"= APmpg4v1.dll
"VIDC.DIV4"= APmpg4v1.dll
"VIDC.MP43"= APmpg4v1.dll

R2 Scap;SecureClient Application Policy Module;C:\WINNT\system32\DRIVERS\Scap.sys [05-03-01 19:49 ]
R2 VPN-1;VPN-1 Module;C:\WINNT\system32\drivers\vpn.sys [05-03-01 19:49 ]
R2 webdavfs;WebDAV File System;C:\WINNT\system32\drivers\webdavfs.sys [07-05-04 16:57 ]
R3 EntDrv50;EntDrv50;C:\WINNT\system32\drivers\EntDrv50.sys [06-06-08 20:00 ]
R3 FW1;SecuRemote Miniport;C:\WINNT\system32\DRIVERS\fw.sys [05-03-01 19:49 ]
R3 GTIPCI21;GTIPCI21;C:\WINNT\system32\DRIVERS\gtipci21.sys [04-05-03 16:26 ]
R3 IWCA2K;Intel Wireless Connection Agent Miniport for Win 2K;C:\WINNT\system32\DRIVERS\iwca2k.sys [04-08-12 09:43 ]
R3 usbhub20;USB-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [04-01-16 19:06 ]
S2 NiExServ;NetInstall Executive;C:\Programme\NetInst\NiExServ.exe [07-09-03 06:13 ]
S3 NIAIServ;NetInstall Service;C:\Programme\NetInst\NiAiServ.exe [07-09-03 06:13 ]
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINNT\system32\DRIVERS\OMVA.sys [05-03-01 19:49 ]
S3 w29n50;Intel(R) PRO/Wireless 2200BG Netzwerkverbindungstreiber für Windows 2000;C:\WINNT\system32\DRIVERS\w29n50.sys [04-10-21 16:57 ]

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"%ProgramFiles%\setup50.exe" /APP:OE /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"%ProgramFiles%\setup50.exe" /APP:WAB /CALLER:IE50 /user /install
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-MsnMsgr - C:\Programme\MSN Messenger\MsnMsgr.Exe
HKLM-Run-lphcjlhj0e981 - C:\WINNT\system32\lphcjlhj0e981.exe
HKU-Default-RunOnce-WUAppSetup - C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R1 -: HKCU-Internet Settings,ProxyServer = 195.180.176.226:8080
R1 -: HKCU-Internet Settings,ProxyOverride = *.kuka.de;*.pro-b-portal.de;*.kuka.biz;*.k-s-s.biz;*.muc;*.vwg;<local>
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
O17 -: HKLM\CCS\Interface\{D661C9F0-034D-4181-AB92-C629CD84EC17}: NameServer = 10.1.249.11,10.1.249.12


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 15:52:14
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\Perflib_Perfdata_458.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-13 15:55:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-13 13:55:30

Pre-Run: 453,054,464 Bytes frei
Post-Run: 543,694,848 Bytes frei

158 --- E O F --- 2008-04-15 08:04:33



---------------------------------------------------------------------------



hier die hijack log datei.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:26, on 13.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe
C:\WINNT\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINNT\system32\lphcjlhj0e981.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.180.176.226:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.kuka.de;*.pro-b-portal.de;*.kuka.biz;*.k-s-s.biz;*.muc;*.vwg;<local>
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O1 - Hosts: 150.150.40.144 cadim_srv CADIM_SRV
O1 - Hosts: 150.150.40.152 cadim_fms CADIM_FMS
O1 - Hosts: 192.4.1.200 cmm_1
O1 - Hosts: 192.4.1.201 cmm_2
O1 - Hosts: 192.4.1.202 cmm_3 CMM_3 # controler3
O1 - Hosts: 192.4.1.203 cmm_4 CMM_4 # controler4
O1 - Hosts: 192.4.1.55 cmmws_1 CMMWS_1
O1 - Hosts: 192.4.1.56 cmmws_2 CMMWS_2
O1 - Hosts: 192.4.1.57 cmmws_3 CMMWS_3 # computer3
O1 - Hosts: 192.4.1.58 cmmws_4 CMMWS_4 # computer4
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [DLA] C:\WINNT\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MBoxUtil Clean] C:\Programme\Konica Minolta\BOX Utility\BoxUtil.exe /clean
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [lphcjlhj0e981] C:\WINNT\system32\lphcjlhj0e981.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08ce -f audio -m logitech -d 10.5.1.2023 (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: (no name) - {9D62EF6C-6613-4121-80B2-319429819A08} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {9D62EF6C-6613-4121-80B2-319429819A08} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {DC49D883-000E-471D-B943-FC57C71E6ECB} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kuka.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D661C9F0-034D-4181-AB92-C629CD84EC17}: NameServer = 10.1.249.11,10.1.249.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kuka.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kuka.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: NetInstall Service (NIAIServ) - enteo Software GmbH - C:\Programme\NetInst\NiAiServ.exe
O23 - Service: NetInstall Executive (NiExServ) - enteo Software GmbH - C:\Programme\NetInst\NiExServ.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\REALVNC\WinVNC\WinVNC.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10858 bytes

#71 Hallo,dschapsi

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKLM\..\Run: [lphcjlhj0e981] C:\WINNT\system32\lphcjlhj0e981.exe

---------

Frage:
ist das gewollt/bekannt (Hosts) ???

O1 - Hosts: 150.150.40.144 cadim_srv CADIM_SRV
O1 - Hosts: 150.150.40.152 cadim_fms CADIM_FMS
O1 - Hosts: 192.4.1.200 cmm_1
O1 - Hosts: 192.4.1.201 cmm_2
O1 - Hosts: 192.4.1.202 cmm_3 CMM_3 # controler3
O1 - Hosts: 192.4.1.203 cmm_4 CMM_4 # controler4
O1 - Hosts: 192.4.1.55 cmmws_1 CMMWS_1
O1 - Hosts: 192.4.1.56 cmmws_2 CMMWS_2
O1 - Hosts: 192.4.1.57 cmmws_3 CMMWS_3 # computer3
O1 - Hosts: 192.4.1.58 cmmws_4 CMMWS_4 # computer4

Proxy:
Internet Settings,ProxyOverride = *.kuka.de;*.pro-b-portal.de;*.kuka.biz


««
scanne mit malwarebytes + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#72 Hallo,

hab hijack gestartet, konnte aber leider folgende zeile nicht finden.

O4 - HKLM\..\Run: [lphcjlhj0e981] C:\WINNT\system32\lphcjlhj0e981.exe


die logdatei sieht jetzt so aus.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:47, on 14.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\hidserv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe
C:\WINNT\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.180.176.226:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.kuka.de;*.pro-b-portal.de;*.kuka.biz;*.k-s-s.biz;*.muc;*.vwg;<local>
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [DLA] C:\WINNT\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MBoxUtil Clean] C:\Programme\Konica Minolta\BOX Utility\BoxUtil.exe /clean
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: (no name) - {9D62EF6C-6613-4121-80B2-319429819A08} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {9D62EF6C-6613-4121-80B2-319429819A08} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {DC49D883-000E-471D-B943-FC57C71E6ECB} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kuka.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D661C9F0-034D-4181-AB92-C629CD84EC17}: NameServer = 10.1.249.11,10.1.249.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kuka.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kuka.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: NetInstall Service (NIAIServ) - enteo Software GmbH - C:\Programme\NetInst\NiAiServ.exe
O23 - Service: NetInstall Executive (NiExServ) - enteo Software GmbH - C:\Programme\NetInst\NiExServ.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Programme\REALVNC\WinVNC\WinVNC.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10248 bytes

#73 Hallo dschapsi !
Beantworte doch mal bitte Sabinas Frage nach den "Kuka" Einträgen ob Du vllt. bewußt mit der gleichnamigen Seite dieses Roborter-Herstellers (die Fa.kenne ich auch, wenn diese gemeint ist und kein Fake) arbeitest, Schließlich waren in Deinem alten Log irgendwelche Servereinträge von Südkorea und New Jersey !? Hast Du vor dem erneuten Hijackthis Log schon irgendein "Reinigungs"-Programm durchlaufen lassen?

#74 ja die einträge von KUKA sind gewollt. hab vor dem hijack das programm cclean laufen lassen.

#75 dann scanne mit malwarebytes (Link in meinem vorigen post) + poste en Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit