Home » Spyware & Browser Hijacker Support Forum » Explorer.exe fehler! » Themenansicht

Explorer.exe fehler!
#0
24.06.2008, 19:47
PornSoldier
...neu hier

Beiträge: 3
#1 High Leute,

krieg dauernt ne fehler Meldung von Explorer.exe und dazu kommt noch das ich z.B. Google unter Opera und Firefox nicht nutzen kann (und noch paar Seiten mehr). Es kommt auch immer wenn ich im IExplorer bin, ne Meldung das ich mir eine Antiviren Software loaden soll (kommt wahrscheinlich vom Wurm, Tojaner oder was es auch ist), naja hab alles mit Kaspersky gescannt und auch paar Sachen gefunden und entfernt. Hat aber nichts gebracht.
hab hier nen Anhang, weiß net ob er was bringt...

Anhang: extra.txt
Seitenanfang Seitenende
24.06.2008, 20:47
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo

Arbeite folgendes ab:
http://board.protecus.de/t23188.htm

Gruss Swiss
Seitenanfang Seitenende
25.06.2008, 00:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo,
in comboscan ist nichts weiter zu erkennen.

1.
als erstes solltest du eine Systemwiederherstellung machen, soweit als möglich zurück

2.
wende an:
Download Dial-a-fix zum Desktop
Entpacke jetzt die Datei
Doppelklick Dial-a-fix
http://virus-protect.org/artikel/tools/dial_a_fix.html

alles anhaken, dann poste den report

3.
versuche avz zu laden + anzuwenden + poste dann hier den report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.06.2008, 13:12
PornSoldier
...neu hier

Themenstarter

Beiträge: 3
#4 Das kam bei Combofix raus:

ComboFix 08-06-20.4 - Admin 2008-06-26 12:18:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.217 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Admin\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMc7c72585.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bjjpyynu.ini
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\henapryp.ini
C:\WINDOWS\system32\henapryp.ini2
C:\WINDOWS\system32\henapryp.tmp
C:\WINDOWS\system32\hgGwVMFU.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\UFMVwGgh.ini
C:\WINDOWS\system32\UFMVwGgh.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-26 bis 2008-06-26 ))))))))))))))))))))))))))))))
.

2008-06-26 12:37 . 2008-06-26 12:37 322,048 --a------ C:\WINDOWS\system32\iifgFwww.dll
2008-06-26 12:37 . 2008-06-26 12:37 345 --ahs---- C:\WINDOWS\system32\wwwFgfii.ini2
2008-06-26 12:37 . 2008-06-26 12:37 345 --ahs---- C:\WINDOWS\system32\wwwFgfii.ini
2008-06-26 12:35 . 2008-06-26 12:35 122,276 --a------ C:\WINDOWS\BMc7c72585.xml
2008-06-26 00:46 . 2008-06-26 00:46 106,496 --a------ C:\WINDOWS\system32\jfkpyics.dll
2008-06-26 00:45 . 2008-06-26 00:45 91,136 --a------ C:\WINDOWS\system32\bhbbnela.dll
2008-06-25 15:37 . 2008-06-25 15:37 <DIR> d-------- C:\Programme\CCleaner
2008-06-24 19:51 . 2008-06-24 19:52 <DIR> d-------- C:\Programme\Hijack This
2008-06-24 19:22 . 2008-06-24 19:22 <DIR> d-------- C:\Deckard
2008-06-24 18:59 . 2008-06-24 18:59 81,920 --a------ C:\WINDOWS\system32\pyrpaneh.dll
2008-06-24 18:58 . 2008-06-24 18:58 99,840 --a------ C:\WINDOWS\system32\wbtympgb.dll
2008-06-24 18:58 . 2008-06-24 18:58 91,136 --a------ C:\WINDOWS\system32\ntvntoon.dll
2008-06-24 16:42 . 2008-06-24 16:42 <DIR> d---s---- C:\Dokumente und Einstellungen\Admin\UserData
2008-06-24 08:20 . 2008-06-24 08:21 1,756,899 --ahs---- C:\WINDOWS\system32\bjjpyynu.tmp
2008-06-23 18:22 . 2008-06-23 18:33 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-06-23 18:22 . 2008-06-23 18:33 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-06-23 18:20 . 2008-06-23 18:20 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-06-23 18:20 . 2008-06-26 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-23 18:20 . 2008-06-26 12:39 3,442,464 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-23 18:20 . 2008-06-26 12:30 47,108 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-23 18:20 . 2008-06-26 12:39 21,792 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-23 18:20 . 2008-06-26 12:30 3,020 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-23 18:19 . 2008-06-23 18:19 <DIR> d-------- C:\kav
2008-06-23 17:46 . 2008-06-23 17:46 105,984 --a------ C:\WINDOWS\system32\fhyuedam.dll
2008-06-23 17:45 . 2008-06-23 17:45 91,136 --a------ C:\WINDOWS\system32\oiskyhpv.dll
2008-06-22 22:12 . 2008-06-23 18:45 <DIR> d--h----- C:\Programme\win32GI
2008-06-22 22:08 . 2008-06-22 22:08 24,576 --a------ C:\WINDOWS\system32\xxyWOFxX.dll
2008-06-22 22:08 . 2008-06-22 22:08 24,576 --a------ C:\WINDOWS\system32\xxyaxywX.dll
2008-06-22 22:08 . 2008-06-22 22:08 24,576 --a------ C:\WINDOWS\system32\ssqQhGYR.dll
2008-06-22 22:08 . 2008-06-22 22:08 24,576 --a------ C:\WINDOWS\system32\opnomNFX.dll
2008-06-22 22:07 . 2008-06-22 22:07 24,576 --a------ C:\WINDOWS\system32\iifEXnMF.dll
2008-06-16 15:48 . 2008-06-16 15:48 <DIR> d-------- C:\Programme\Windows Mobile Device Handbook
2008-06-16 15:48 . 2008-06-16 15:48 <DIR> d-------- C:\Programme\Microsoft ActiveSync
2008-06-11 06:37 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-06 11:30 . 2008-06-06 11:31 24 ---hs---- C:\WINDOWS\S4E054D70.tmp
2008-06-06 11:29 . 2008-06-06 11:29 <DIR> d-------- C:\Programme\SlySoft
2008-06-05 11:56 . 2008-06-05 11:56 <DIR> d-------- C:\Programme\Microsoft Business Solutions-Navision
2008-06-05 11:56 . 2008-06-05 11:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Navision
2008-06-05 11:52 . 2008-06-05 11:52 <DIR> d-------- C:\Programme\Microsoft SQL Server
2008-06-05 11:52 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-06-05 11:52 . 2002-12-17 16:23 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2008-06-05 11:52 . 2002-10-20 14:05 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2008-06-05 11:51 . 2008-06-05 11:51 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-06-04 14:53 . 2008-06-04 14:53 4,096 --a------ C:\WINDOWS\system32\drivers\nocashio.sys
2008-05-30 16:45 . 2008-06-07 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Move Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 14:51 --------- d-----w C:\Programme\ICQToolbar
2008-06-23 16:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-23 16:34 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-06-23 15:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-22 20:12 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\uTorrent
2008-06-22 20:10 --------- d-----w C:\Programme\Electronic Arts
2008-06-22 12:08 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 16:51 --------- d-----w C:\Programme\DivX
2008-05-27 15:44 --------- d-----w C:\Programme\AV VoizGame
2008-05-27 15:27 --------- d-----w C:\Programme\AV Vcs 6.0 GOLD
2008-05-25 19:07 --------- d-----w C:\Programme\BlablaMaker
2008-05-25 16:02 --------- d-----w C:\Programme\u-he
2008-05-25 16:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Digidesign
2008-05-25 16:02 --------- d-----w C:\Programme\Celemony
2008-05-25 16:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Celemony Software GmbH
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-21 21:36 --------- d-----w C:\Programme\Google
2008-05-20 15:07 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\LimeWire
2008-05-14 13:44 --------- d-----w C:\Programme\Lexmark 2200 Series
2008-05-09 20:36 --------- d-----w C:\Programme\VstPlugins
2008-05-09 20:36 --------- d-----w C:\Programme\Image-Line
2008-05-09 20:09 --------- d-----w C:\Programme\Outsim
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 19:36 --------- d-----w C:\Programme\EA GAMES
2008-05-04 19:31 --------- d--h--r C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SecuROM
2008-04-30 17:42 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\AdobeUM
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-10 12:19 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-09 14:41 22,328 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PnkBstrK.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2085dd33-0ec4-4055-998a-771c0dd29c2a}]
2008-06-26 12:43 106496 --a------ C:\WINDOWS\system32\rnudacyw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E81194F7-1EEA-45EA-9EAC-D69C94824DFC}]
2008-06-26 12:37 322048 --a------ C:\WINDOWS\system32\iifgFwww.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F86B11F3-0CE1-475F-9541-5329BF7B3597}]
2008-06-22 22:07 24576 --a------ C:\WINDOWS\system32\iifEXnMF.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 13:50 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 21:10 335872]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"FaxCenterServer"="C:\Programme\Lexmark Fax Solutions\fm3032.exe" [2004-02-04 15:33 294912]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-05-15 00:22 35328]
"Lexmark 2200 Series"="C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 15:15 57344]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"InkSaver"="C:\Programme\InkSaver\InkSaver.exe" [2007-05-24 11:56 589824]
"Mouse_2k"="C:\Programme\MouseDriver\Mouse_2k.exe" [2007-11-29 21:49 843776]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 21:21 57344]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]
"BMc7c72585"="C:\WINDOWS\system32\fxirrhsk.dll" [2008-06-26 12:40 91648]
"c4f41619"="C:\WINDOWS\system32\cbsehovc.dll" [2008-06-26 12:40 80896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F86B11F3-0CE1-475F-9541-5329BF7B3597}"= C:\WINDOWS\system32\iifEXnMF.dll [2008-06-22 22:07 24576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifEXnMF]
iifEXnMF.dll 2008-06-22 22:07 24576 C:\WINDOWS\system32\iifEXnMF.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=fhyuedam.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\iifgFwww

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Dokumente und Einstellungen\\Admin\\Desktop\\Spiele\\utorrent16.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\kav\\kav7.0\\german\\setup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service


.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:16:04 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-06-21 09:41:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-26 12:35:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\iifEXnMF.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\cbsehovc.dll
-> C:\WINDOWS\system32\fxirrhsk.dll
-> C:\WINDOWS\system32\iifgFwww.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-26 12:58:09 - machine was rebooted [Admin]
ComboFix-quarantined-files.txt 2008-06-26 10:56:59

17 Verzeichnis(se), 10,135,769,088 Bytes frei
20 Verzeichnis(se), 10,154,446,848 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptIn
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

217 --- E O F --- 2008-06-20 07:31:56


Das kam bei HiJack raus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:42, on 26.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\InkSaver\InkSaver.exe
C:\Programme\MouseDriver\Mouse_2k.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hijack This\hijackthis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {a2c92dd0-c177-a899-5504-4ce033dd5802} - {2085dd33-0ec4-4055-998a-771c0dd29c2a} - C:\WINDOWS\system32\rnudacyw.dll
O2 - BHO: (no name) - {6AADA3D3-D8D9-43FD-A19C-D2AABAAA0DC2} - C:\WINDOWS\system32\iifgFwww.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {F86B11F3-0CE1-475F-9541-5329BF7B3597} - C:\WINDOWS\system32\iifEXnMF.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InkSaver] C:\Programme\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [Mouse_2k] C:\Programme\MouseDriver\Mouse_2k.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [c4f41619] rundll32.exe "C:\WINDOWS\system32\cbsehovc.dll",b
O4 - HKLM\..\Run: [BMc7c72585] Rundll32.exe "C:\WINDOWS\system32\fxirrhsk.dll",s
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C487469-6E06-4974-82DB-A03AE0E37AB2}: NameServer = 192.168.178.1
O20 - AppInit_DLLs: fhyuedam.dll
O20 - Winlogon Notify: iifEXnMF - C:\WINDOWS\SYSTEM32\iifEXnMF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7270 bytes

Und das kam bei dem finddat raus:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4F4-16B6

Verzeichnis von C:\WINDOWS\system32

26.06.2008 13:16 1.710.870 cvohesbc.ini
26.06.2008 13:13 0 mcrh.tmp
26.06.2008 13:13 463.370 wwwFgfii.ini
26.06.2008 13:08 462.305 wwwFgfii.ini2
26.06.2008 12:43 106.496 rnudacyw.dll
26.06.2008 12:40 80.896 cbsehovc.dll
26.06.2008 12:40 91.648 fxirrhsk.dll
26.06.2008 12:39 0 clkcnt.txt
26.06.2008 12:37 322.048 iifgFwww.dll
26.06.2008 00:46 106.496 jfkpyics.dll
26.06.2008 00:45 91.136 bhbbnela.dll
24.06.2008 18:58 99.840 wbtympgb.dll
24.06.2008 18:58 91.136 ntvntoon.dll
24.06.2008 08:21 1.756.899 bjjpyynu.tmp
23.06.2008 17:46 105.984 fhyuedam.dll
23.06.2008 17:45 91.136 oiskyhpv.dll
23.06.2008 17:42 2.206 wpa.dbl
22.06.2008 22:08 24.576 xxyWOFxX.dll
22.06.2008 22:08 24.576 opnomNFX.dll
22.06.2008 22:08 24.576 ssqQhGYR.dll
22.06.2008 22:08 24.576 xxyaxywX.dll
22.06.2008 22:07 24.576 iifEXnMF.dll
22.06.2008 14:08 107.888 CmdLineExt.dll
18.06.2008 17:14 423.718 perfh009.dat
18.06.2008 17:14 70.814 perfc009.dat
18.06.2008 17:14 439.102 perfh007.dat
18.06.2008 17:14 84.242 perfc007.dat
18.06.2008 17:14 1.031.696 PerfStringBackup.INI
26.05.2008 10:40 114.176 FNTCACHE.DAT
23.05.2008 00:20 200.704 ssldivx.dll
23.05.2008 00:20 1.044.480 libdivx.dll
07.05.2008 07:14 1.293.312 quartz.dll
21.04.2008 09:01 617.984 urlmon.dll
21.04.2008 09:01 665.088 wininet.dll
21.04.2008 09:01 474.624 shlwapi.dll
21.04.2008 09:01 1.494.528 shdocvw.dll
21.04.2008 09:01 39.424 pngfilt.dll
21.04.2008 09:01 532.480 mstime.dll
21.04.2008 09:01 449.024 mshtmled.dll
21.04.2008 09:01 146.432 msrating.dll
21.04.2008 09:01 3.080.704 mshtml.dll
21.04.2008 09:01 205.312 dxtrans.dll
21.04.2008 09:01 1.056.256 danim.dll
21.04.2008 09:01 357.888 dxtmsft.dll
21.04.2008 09:01 251.392 iepeers.dll
21.04.2008 09:01 16.384 jsproxy.dll
21.04.2008 09:01 96.768 inseng.dll
21.04.2008 09:01 55.808 extmgr.dll
21.04.2008 09:01 1.023.488 browseui.dll
21.04.2008 09:01 152.064 cdfview.dll
17.04.2008 13:03 374.272 xpsp3res.dll
10.04.2008 14:19 103.736 PnkBstrB.exe
25.03.2008 06:51 621.344 mswstr10.dll
25.03.2008 06:51 187.168 msjint40.dll
25.03.2008 06:50 355.104 msxbde40.dll
25.03.2008 06:50 838.432 mswdat10.dll
25.03.2008 06:50 264.992 mstext40.dll
25.03.2008 06:50 559.904 msrepl40.dll
25.03.2008 06:50 322.336 msrd3x40.dll
25.03.2008 06:50 432.928 msrd2x40.dll
25.03.2008 06:50 355.104 mspbde40.dll
25.03.2008 06:50 219.936 msltus40.dll
25.03.2008 06:50 60.192 msjter40.dll
25.03.2008 06:50 248.608 msjtes40.dll
25.03.2008 06:50 355.112 msjetoledb40.dll
25.03.2008 06:50 1.516.568 msjet40.dll
25.03.2008 06:50 326.432 msexcl40.dll
25.03.2008 06:50 518.944 msexch40.dll
Dieser Beitrag wurde am 26.06.2008 um 13:30 Uhr von PornSoldier editiert.
Seitenanfang Seitenende
26.06.2008, 16:08
Swisstreasure
Moderator

Beiträge: 5694
#5 >>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei:

Zitat

O2 - BHO: {a2c92dd0-c177-a899-5504-4ce033dd5802} - {2085dd33-0ec4-4055-998a-771c0dd29c2a} - C:\WINDOWS\system32\rnudacyw.dll

O2 - BHO: (no name) - {6AADA3D3-D8D9-43FD-A19C-D2AABAAA0DC2} - C:\WINDOWS\system32\iifgFwww.dll

O2 - BHO: (no name) - {F86B11F3-0CE1-475F-9541-5329BF7B3597} - C:\WINDOWS\system32\iifEXnMF.dll

O4 - HKLM\..\Run: [c4f41619] rundll32.exe "C:\WINDOWS\system32\cbsehovc.dll",b

O4 - HKLM\..\Run: [BMc7c72585] Rundll32.exe "C:\WINDOWS\system32\fxirrhsk.dll",s

O20 - AppInit_DLLs: fhyuedam.dll

O20 - Winlogon Notify: iifEXnMF - C:\WINDOWS\SYSTEM32\iifEXnMF.dll

und wähle fix checked.

Starte Rechner neu.

Gruss Swiss
Seitenanfang Seitenende
26.06.2008, 16:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

nach dem Fixen mit HijackThis:

1.
scanne mit Malwarebytes, lasse alles gefundene entfernen
http://virus-protect.org/artikel/tools/malwarebytes.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F86B11F3-0CE1-475F-9541-5329BF7B3597}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifEXnMF]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMc7c72585"=-
"c4f41619"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2085dd33-0ec4-4055-998a-771c0dd29c2a}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E81194F7-1EEA-45EA-9EAC-D69C94824DFC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F86B11F3-0CE1-475F-9541-5329BF7B3597}]

File::
C:\WINDOWS\system32\cvohesbc.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\wwwFgfii.ini
C:\WINDOWS\system32\wwwFgfii.ini2
C:\WINDOWS\system32\rnudacyw.dll
C:\WINDOWS\system32\cbsehovc.dll
C:\WINDOWS\system32\fxirrhsk.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\iifgFwww.dll
C:\WINDOWS\system32\jfkpyics.dll
C:\WINDOWS\system32\bhbbnela.dll
C:\WINDOWS\system32\wbtympgb.dll
C:\WINDOWS\system32\ntvntoon.dll
C:\WINDOWS\system32\bjjpyynu.tmp
C:\WINDOWS\system32\fhyuedam.dll
C:\WINDOWS\system32\oiskyhpv.dll
C:\WINDOWS\system32\xxyWOFxX.dll
C:\WINDOWS\system32\opnomNFX.dll
C:\WINDOWS\system32\ssqQhGYR.dll
C:\WINDOWS\system32\xxyaxywX.dll
C:\WINDOWS\system32\iifEXnMF.dll


Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

-------------------
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.06.2008, 18:10
PornSoldier
...neu hier

Themenstarter

Beiträge: 3
#7 WOW ich muss sagen, dass ihr mich umhaut, ihr habts echt drauf.
Ich weiß net wie ich euch danken soll, es funktioniert wieder alles einwandfrei!!
DANKE DANKE DANKE DANKE DANKE DANKE! :p
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1