Virus oder Trojaner ?????

#0
02.05.2008, 18:53
...neu hier

Beiträge: 3
#1 Hallo!

Ich glaube ich habe mir einen Virus eingefangen. Meine Firewall (Sygate Personal Firewall) und meine Virensoftware (AntiVir PersonalEdition Classic) sind plötzlich abgeschaltet, jedoch nicht gelöscht. Beim Versuch sie von Hand einzuschalten erscheint immer z. B. folgende Fehlermeldung: "C\Programme\AntiVir PersonalEdition Classic\avgnt.exe ist keine zulässige Win32 Anwendung." Dies Meldung erscheint auch beim Versuch die Firewall von Hand zu starten, natürlich mit den entsprechenden Pfadangaben. Nach dem Deinstallieren scheitert der Versuch einer Neuinstallation der Programme mit der gleichen Fehlermeldung oder sie lassen sich Installieren starten aber trotz Eintrag in den Autostartgruppen nicht. Bei Handstart erscheint wieder die o.g. Fehlermeldung. Keine Firewall (ZoneAlarm, Ashampoo Firewall, Kerio, Comodor usw.) läßt sich installiern, alle brechen mit der Fehlermeldungen ab. Spybot - Search & Distroy funtioniert ebenfalls nicht mehr.
Außerdem bleibt Windows beim Versuch im abgesichertern Modus zu starten mit blauem Bildschirm hängen.

Habe dann von der neuesten AntiVirBootCD gebootet und mit dem Virenscanner auf der CD deinen Virenscan gemacht. Es wurde kein Virus oder Trojaner oder ähnl. gefunden. Auch die mit Hijackthis erstellte Logdatei ergab bei Überprüfung auf der Hijackthis-Webseite keine Auffälligkeiten. Alle anderen Programme laufen übrigens einwandfrei.

Vielleicht weiß jemand was das sein könnte.

Die Logdatei füge ich nach mal zur Ansicht bei.

Gruß trandil





Logfile of HijackThis v1.99.1
Scan saved at 23:43:03, on 01.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe
C:\Programme\HijackThis\Hi1999.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: Web-Recherche Browser Helper Object - {255215E2-87DC-4819-8724-D0B4C94DBEF5} - C:\Programme\Web-Recherche\WRShell.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O3 - Toolbar: Web-Recherche-Symbolleiste - {8F0F47B1-7D4B-4834-A981-91E2A3DCE069} - C:\Programme\Web-Recherche\WRShell.dll
O3 - Toolbar: Web-Recherche-Bearbeitungsleiste - {5338DF6C-3B3B-4E38-8B31-7B99986627B2} - C:\Programme\Web-Recherche\WRShell.dll
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\VIDEO_~1\TrayServer.exe
O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Web-Recherche: Bild speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#101
O8 - Extra context menu item: Web-Recherche: Bild speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#108
O8 - Extra context menu item: Web-Recherche: Link-Adresse speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#110
O8 - Extra context menu item: Web-Recherche: Markierte Ziele speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#111
O8 - Extra context menu item: Web-Recherche: Markierung speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#104
O8 - Extra context menu item: Web-Recherche: Markierung speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#109
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#102
O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#106
O8 - Extra context menu item: Web-Recherche: Ziel speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#103
O8 - Extra context menu item: Web-Recherche: Ziel speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#107
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{33ED64AE-4DAC-45FF-9D82-61B0AD764331}: NameServer = 192.168.2.1,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{33ED64AE-4DAC-45FF-9D82-61B0AD764331}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{33ED64AE-4DAC-45FF-9D82-61B0AD764331}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: XIW - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Ralf\LOKALE~1\Temp\XIW.exe
Seitenanfang Seitenende
02.05.2008, 19:13
Member

Beiträge: 3716
#2 http://virus-protect.org/artikel/tools/combofix.html
laden und log posten genauestens an anleitung halten
Seitenanfang Seitenende
02.05.2008, 19:17
Moderator

Beiträge: 5694
#3 Hallo trandil

Erstell noch ein neues HiJckThis Log.
Du hast die alte Version. Nimm die neue:
http://virus-protect.org/hjtkurz.html

Gruss Swiss
Seitenanfang Seitenende
02.05.2008, 22:08
...neu hier

Themenstarter

Beiträge: 3
#4 Hallo Virenfinder

Bei Aufruf der "Combofix.exe" Fehlermeldung wie oben.


Hallo Swiss

Keine Installation von "HiJckThis" möglich. Fehlermeldung siehe oben.


Gruß
trandil
Seitenanfang Seitenende
02.05.2008, 22:12
Member

Beiträge: 3716
#5 hallo wie sieht es mit umbenennung in combofix.com aus? versuch auch mal im abges. modus.
Seitenanfang Seitenende
02.05.2008, 22:17
Member

Beiträge: 3716
#6 auch mal versuchen sdfix im abges modus zu verwenden:
http://virus-protect.org/artikel/tools/sdfix.html
log posten.
kommst du evtl. an einen sauberen rechner? dann mal avira rescue cd laden und brennen:
www.avira.com/de/support/support_downloads.html - 32k -
alle fune renamen und falls du das log nciht speichern kannst alles aufschreiben also dateipfad und schädlingsname. würde ich sogar for dem sdfix machen. falls du keinen andern rechner zur verfügung hast, brenne es einfach von deinem.
Seitenanfang Seitenende
03.05.2008, 00:34
...neu hier

Themenstarter

Beiträge: 3
#7 Habe ich doch alles schon versucht (steht auch alles oben in meiner Fehlerbeschreibung).

"avira rescue cd" findet keinen Virus und der abgesicherte Modus bleibt mit einem blauen Bildschirm hängen.
Seitenanfang Seitenende
03.05.2008, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 hallo,

du hast dir den bagle-Wurm eingefangen...
da bin ich mir sicher.
willst du eine /sehr aufwendige Reinigung/ versuchen ...oder gleich formatieren ?

«
versuche catchme anzuwenden + poste den report
http://virus-protect.org/catchme.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2008, 20:48
...neu hier

Beiträge: 2
#9 [b]Hat mein Vorgehen Erfolg gehabt ?

Guten Abend und ein Dankeschön für die Anleitung
zum Check - nach Viren und Spam
( konnte
- syskontroller-Malware vorerst dadurch eleminieren
- jkkjh.dll
-gdfeuxqm.dll ruhigstellen (Antivir hat nicht ignoriert und immer wieder
meldung gebracht-auch eintrag in Ausnahme brachte nichts)

Stelle hier meinen "Erfolg"? zur Einsicht.
Würde mich über einen kurzen Kommentar freuen.
Gehe von 50% Erfolg aus.
*
Falls Ihr was findet ? - bedanke ich mich !!!

--------------------------------- uninstallist-----------------------

*2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
AcronisTrueImageHome
Adobe Flash Player ActiveX
Avira AntiVir Personal – Free Antivirus
AVM FRITZ!
ButtonBar
CCleaner (remove only)
Compatibility Pack für 2007 Office System
ERUNT 1.1j
GetRight
HijackThis 2.0.2
Java(TM) 6 Update 5
Joe
Microsoft Office Access MUI (English) 2007
Microsoft Office Access MUI (German) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office Language Pack 2007 - German/Deutsch
Microsoft Office O MUI (German) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office SharePoint Designer MUI (German) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Office X MUI (German) 2007
Microsoft Visual C++ 2005 Redistributable
NVIDIA nForce Treiber für Windows 2000/XP
NVIDIA nForce Utilities
PGP 8.0.1
PowerISO
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
tradesignal web edition
TuneUp Utilities 2003

---------------------- Hijackhtis---------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:56, on 08.05.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\WINDOWS\system32\PGPsdkServ.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
G:\Sicherung\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BBar\bBar.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tradesignalonline.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://search.utorrent.com/search.php?q=acronis&e=http%3a%2f%2fwww.mininova.org%2fsearch%2f%3futorrent%26search%3d&u=1
O2 - BHO: (no name) - {45601EA6-3497-4FA7-A836-25F229184882} - C:\WINDOWS\system32\jkkjh.dll (file missing)
O2 - BHO: {308c8076-6286-3c6a-3834-39d81881e474} - {474e1881-8d93-4383-a6c3-68266708c803} - C:\WINDOWS\system32\gdfeuxqm.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Sicherung\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit bBar.lnk = C:\Programme\BBar\bBar.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - http://www.tradesignalonline.com/gallery/components/axts5we.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210231424750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210231395343
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8AF9901-755B-4662-831B-21A8CA14FC6A}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PGPsdkService (PGPsdkServ) - PGP Corporation - C:\WINDOWS\system32\PGPsdkServ.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7041 bytes

------------------------- datfindlist-----------------------------------

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CDD-0045

Verzeichnis von C:\WINDOWS\system32

08.05.2008 19:31 357.649 vsconfig.xml
08.05.2008 18:55 0 clkcnt.txt
08.05.2008 15:38 15 3cdd1264

08.05.2008 14:54 2.206 wpa.dbl
08.05.2008 14:12 264.616 FNTCACHE.DAT
08.05.2008 12:59 6.641 jupdate-1.6.0_05-b13.log
08.05.2008 09:20 344.310 perfh007.dat
08.05.2008 09:20 58.806 perfc007.dat
08.05.2008 09:20 758.246 PerfStringBackup.INI
08.05.2008 09:18 314.508 perfh009.dat
08.05.2008 09:18 40.836 perfc009.dat
07.05.2008 12:03 7.168 Thumbs.db
07.05.2008 11:22 1.024 AutoPartNt.let
07.05.2008 11:22 1.892.120 AutoPartNt.exe
06.05.2008 23:40 4.212 zllictbl.dat
06.05.2008 23:04 245 spupdwxp.log
06.05.2008 21:07 18.254 ssnvfx.ini
06.05.2008 13:58 0 h323log.txt
06.05.2008 13:21 25.065 wmpscheme.xml
06.05.2008 13:10 386 $winnt$.inf
06.05.2008 13:06 2.951 CONFIG.NT

0 Verzeichnis(se), 2.142.285.824 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CDD-0045

Verzeichnis von C:\DOKUME~1\test\LOKALE~1\Temp

08.05.2008 20:29 106.943 datfind.txt
08.05.2008 20:27 114.688 ~DFE6C2.tmp
08.05.2008 19:34 16.384 ~DF2A6.tmp
3 Datei(en) 238.015 Bytes
0 Verzeichnis(se), 2.142.306.304 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CDD-0045

Verzeichnis von C:\WINDOWS

08.05.2008 19:33 227 system.ini
08.05.2008 19:32 152.381 WindowsUpdate.log
08.05.2008 19:31 0 0.log
08.05.2008 19:31 2.048 bootstat.dat
08.05.2008 19:30 9.578 SchedLgU.Txt
08.05.2008 19:23 681 setupapi.log
08.05.2008 14:02 615 win.ini
08.05.2008 09:48 748 ODBC.INI
07.05.2008 12:03 7.680 Thumbs.db
06.05.2008 23:57 0 nsreg.dat
06.05.2008 23:05 316.640 WMSysPr9.prx
06.05.2008 20:51 3.813 Ascd_tmp.ini
06.05.2008 13:11 8.192 REGLOCS.OLD
06.05.2008 13:06 0 control.ini
06.05.2008 13:05 299.552 WMSysPrx.prx
06.05.2008 13:05 4.161 ODBCINST.INI
06.05.2008 13:05 749 WindowsShell.Manifest
06.05.2008 13:03 37 vbaddin.ini
06.05.2008 13:03 36 vb.ini
01.12.2007 02:48 288.768 winhlp32.exe
01.12.2007 02:48 32.866 slrundll.exe
01.12.2007 02:48 153.600 regedit.exe
01.12.2007 02:48 70.144 notepad.exe
01.12.2007 02:48 10.752 hh.exe
01.12.2007 02:48 1.036.800 explorer.exe
01.12.2007 02:47 50.688 twain_32.dll

68 Datei(en) 6.702.103 Bytes
0 Verzeichnis(se), 2.142.302.208 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CDD-0045

Verzeichnis von C:\WINDOWS\temp

08.05.2008 19:31 16.384 Perflib_Perfdata_1ec.dat
08.05.2008 19:31 256 ZLT02d7b.TMP
08.05.2008 19:31 256 ZLT02d78.TMP
3 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 2.142.302.208 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CDD-0045

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.05.2008 13:05 65 desktop.ini
24.03.2008 19:33 1.527.056 FP_AX_CAB_INSTALLER.exe
24.03.2008 19:18 247 swflash.inf
20.03.2008 15:10 367 LegitCheckControl.inf
04.02.2008 17:53 361 OGAControl.inf
30.01.2008 11:44 146 axts5we.inf
30.07.2007 19:24 293 wuweb.inf
30.07.2007 19:24 295 muweb.inf
8 Datei(en) 1.528.830 Bytes
0 Verzeichnis(se), 2.142.302.208 Bytes frei

Dieser Beitrag wurde am 08.05.2008 um 20:52 Uhr von ubbs editiert.
Seitenanfang Seitenende
08.05.2008, 21:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {45601EA6-3497-4FA7-A836-25F229184882} - C:\WINDOWS\system32\jkkjh.dll (file missing)
O2 - BHO: {308c8076-6286-3c6a-3834-39d81881e474} - {474e1881-8d93-4383-a6c3-68266708c803} - C:\WINDOWS\system32\gdfeuxqm.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als regfix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45601EA6-3497-4FA7-A836-25F229184882}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{474e1881-8d93-4383-a6c3-68266708c803}]

Doppelklick auf regfix.reg und fuege es den registry zu

Rechner neu starten

Malwarebytes Anti-Malware
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
__________
MfG Argus
Seitenanfang Seitenende
08.05.2008, 23:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 ««
das sollte noch gelöscht werden:

C:\WINDOWS\system32\3cdd1264

««
und in der Registry diese Einträge in 0 ändern:

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2008, 14:28
...neu hier

Beiträge: 2
#12 DANKE an EUCH !!!
Rat soweit befolgt und Vorgang abgeschlossen.
*
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 722

Scan Art: Schnell Scan
Objekte gescannt: 33657
Scan Dauer: 3 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
*
WIDER WAS DAZUGELERNT !
Schönes WE für Euch
[i]
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 722

Scan Art: Schnell Scan
Objekte gescannt: 33630
Scan Dauer: 1 minute(s), 40 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Werde Euch begleiten .................
Dieser Beitrag wurde am 09.05.2008 um 14:34 Uhr von ubbs editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: