Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wäre für Logfile-Durchsicht und Hilfe dankbar

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.07.2008, 19:12   #16
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo


Jupp
Malwarebytes löschen lassen --> Log posten
Blacklight scannen --> Log posten



Sollte sich bald bessern

MFG
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 967
Windows 5.1.2600 Service Pack 2

19:59:55 19.07.2008
mbam-log-7-19-2008 (19-59-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47750
Laufzeit: 2 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINXP\system32\rgfkfbry.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINXP\system32\uxemcgfa.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 

Objects\{3c4727c2-bf3f-48f0-9670-33d72e2ed5c0} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3c4727c2-bf3f-48f0-9670-33d72e2ed5c0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 

Objects\{587c4de2-ed1f-497b-a0a1-024d336bb19b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{587c4de2-ed1f-497b-a0a1-024d336bb19b} (Trojan.Vundo) -> Quarantined and deleted 

successfully.
HKEY_CLASSES_ROOT\CLSID\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 

Objects\{bf0ca4fc-6378-4062-b546-3cde8a28b1e0} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcctuli (Trojan.Vundo) -> Delete 

on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9cdbde2b (Trojan.Vundo) -> Quarantined and 

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm9fe8edb7 (Trojan.Vundo) -> Quarantined and 

deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bf0ca4fc-6378-4062-b546-

3cde8a28b1e0} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: 

c:\winxp\system32\byxqromn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: 

c:\winxp\system32\byxqromn  -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\nmorqXyb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\nmorqXyb.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\oxxrdj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\ekhadtip.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\pitdahke.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\kukyxbhw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\whbxykuk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\otkshhyp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\pyhhskto.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\pbmbqftl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\ltfqbmbp.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\rgfkfbry.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\yrbfkfgr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\rtqmmmig.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\gimmmqtr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\txcctayk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\kyatccxt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\usyoyjul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\lujyoysu.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\uxemcgfa.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINXP\system32\tatkgjnw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\ealtammu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\sxtupyul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\unvscpkv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\knbaivva.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\jdccssse.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\system32\wfxieqfg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINXP\BM9fe8edb7.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINXP\BM9fe8edb7.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
         

Alt 19.07.2008, 19:15   #17
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo


genau so

Dieser Eintrag macht mir etwas sorgen

entfernen wir den Eintrag mal.
Starte RunScanner und führe einen doppelklick (makieren) auf den o.g. Eintrag aus, dann wechsel in die Ansicht "Item fixer" und klicke auf "Fix select Items" bestätige mit "OK" --> beende Runscanner.

Lass Malwarebytes erneut laufen und alles löschen was gefunden wird.

Scanne dein System außerdem mit Blaclkight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Poste die Logs und berichte bitte mal.

MFG
Code:
ATTFilter
07/19/08 20:01:01 [Info]: BlackLight Engine 1.0.70 initialized
07/19/08 20:01:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/19/08 20:01:01 [Note]: 7019 4
07/19/08 20:01:01 [Note]: 7005 0
07/19/08 20:01:05 [Note]: 7006 0
07/19/08 20:01:05 [Note]: 7011 2012
07/19/08 20:01:05 [Note]: 7035 0
07/19/08 20:01:05 [Note]: 7026 0
07/19/08 20:01:05 [Note]: 7026 0
07/19/08 20:01:07 [Note]: FSRAW library version 1.7.1024
07/19/08 20:14:12 [Note]: 7007 0
         
__________________


Alt 19.07.2008, 19:33   #18
nochdigger
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Hallo

führe bitte eine Säuberung mit dem CCleaner durch.


Hast du einen Neustart durchgeführt?

Was macht die Googlesucherei?


Erstelle nach dem Neustart bitte ein frisches HijackThis Log.

Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG
__________________
__________________

Alt 19.07.2008, 19:45   #19
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

führe bitte eine Säuberung mit dem CCleaner durch.


Hast du einen Neustart durchgeführt?

Was macht die Googlesucherei?


Erstelle nach dem Neustart bitte ein frisches HijackThis Log.

Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:01, on 19.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\Explorer.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\winadm.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\WINXP\emMON.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINXP\system32\crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\1&1\IGDCTRL.EXE
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINXP\system32\svchost.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://sedoparking.com/domparking.php?id=827484&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
O2 - BHO: (no name) - {39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
O2 - BHO: (no name) - {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
O2 - BHO: (no name) - {9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINXP\system32\ieconfig_1und1.dll
O2 - BHO: (no name) - {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
O2 - BHO: (no name) - {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINXP\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [_winadm] C:\WINXP\system32\winadm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\hreyhlfm.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: movie - XL.lnk = C:\Programme\movie - XL\StartJP.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINXP\SYSTEM32\crypserv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\1&1\IGDCTRL.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 14835 bytes
         

Alt 19.07.2008, 19:55   #20
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

führe bitte eine Säuberung mit dem CCleaner durch.


Hast du einen Neustart durchgeführt?

Was macht die Googlesucherei?


Erstelle nach dem Neustart bitte ein frisches HijackThis Log.

Erstelle bitte auch ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG
Code:
ATTFilter
 Verzeichnis von C:\

19.07.2008  20:26     2.145.386.496 pagefile.sys
19.07.2008  16:27               404 desktop.ini
19.07.2008  16:27            12.443 AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Large.jpg
19.07.2008  16:27            12.443 Folder.jpg
19.07.2008  16:27             2.757 AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Small.jpg
19.07.2008  16:27             2.757 AlbumArtSmall.jpg
18.07.2008  18:53               168 setupfax.log
22.06.2008  13:24               177 Systemwiederherstellung.txt
07.06.2008  20:24             3.853 LGSInst.Log

Verzeichnis von C:\WINXP\system32

19.07.2008  20:44                 0 nmp.log
19.07.2008  20:25           457.560 nmorqXyb.ini
19.07.2008  20:24           457.560 nmorqXyb.ini2
19.07.2008  18:55            78.336 rgfkfbry.dll
19.07.2008  18:55            91.136 uxemcgfa.dll
19.07.2008  18:54                 0 97f81a55-.txt
18.07.2008  21:33             6.944 jupdate-1.6.0_07-b06.log
18.07.2008  18:54           102.912 khlxqlte.dll
18.07.2008  18:54           102.912 kdvevs.dll
18.07.2008  18:52            91.648 hreyhlfm.dll
17.07.2008  04:35           102.400 cvjvulwj.dll
17.07.2008  04:35           102.400 fmhgwo.dll
17.07.2008  04:35            91.648 lsobndlf.dll
16.07.2008  18:17         1.405.026 mpmvyuco.ini
16.07.2008  16:33           700.658 nuaalxhr.ini
16.07.2008  16:29                86 Mswinmask32.dll
16.07.2008  04:36           103.936 cjxcza.dll
16.07.2008  04:36           103.936 qaqhdbsy.dll
16.07.2008  04:33            92.160 spwibqfb.dll
16.07.2008  04:33           318.976 byXqromn.dll
16.07.2008  04:23           457.615 eOnVCcdd.ini
16.07.2008  04:23           457.615 eOnVCcdd.ini2
15.07.2008  18:19           103.936 qtcqsdme.dll
15.07.2008  18:19           103.936 xckqnt.dll
15.07.2008  18:19            92.160 pnasofny.dll
14.07.2008  16:56           102.400 exkgpfvo.dll
14.07.2008  16:56           102.400 xqduhe.dll
14.07.2008  16:51         1.841.030 vllxlems.ini
14.07.2008  16:51               143 mcrh.tmp
13.07.2008  15:11           103.424 okxcfndg.dll
13.07.2008  15:11           103.424 ioiicu.dll
13.07.2008  14:04         1.878.829 midswdqm.ini
13.07.2008  13:39           474.685 QXacefii.ini
13.07.2008  13:37           474.274 QXacefii.ini2
13.07.2008  13:19           103.424 xjrsoncc.dll
13.07.2008  13:19           103.424 zklpyc.dll
13.07.2008  13:10           457.585 RYacLRqr.ini
13.07.2008  13:07           457.585 RYacLRqr.ini2
12.07.2008  20:21           103.424 rkwxal.dll
12.07.2008  20:21           103.424 oilxhpqe.dll
12.07.2008  20:21            91.648 qnuxjuau.dll
11.07.2008  20:23           103.424 firjepmm.dll
11.07.2008  20:23           103.424 wkodgb.dll
11.07.2008  19:20           103.424 celvmy.dll
11.07.2008  19:20           103.424 tavopron.dll
09.07.2008  21:09           102.912 ntsgdh.dll
09.07.2008  21:09           102.912 embyffgm.dll
09.07.2008  21:06            91.136 irttvowi.dll
09.07.2008  17:20         1.852.844 vwnhsebc.ini
09.07.2008  17:19             2.206 wpa.dbl
08.07.2008  20:05         1.852.724 xafpebli.ini
07.07.2008  22:06         1.806.744 iclqmryy.ini
07.07.2008  19:59           103.424 uvcuurxq.dll
07.07.2008  19:59           103.424 kbljlr.dll
07.07.2008  19:54         1.805.131 kcnqkfdq.ini
06.07.2008  16:26         1.694.227 qvhxqequ.ini
04.07.2008  15:37         1.699.388 hdbuynhn.ini
03.07.2008  19:50         1.699.268 deilnuen.ini
03.07.2008  19:10         1.714.800 mrinhfxr.ini
02.07.2008  17:29         1.714.058 feljtevh.ini
01.07.2008  01:10           459.134 ayHOnUvw.ini
01.07.2008  01:10           459.134 ayHOnUvw.ini2
30.06.2008  21:29         1.733.340 aoiwtdiw.ini
29.06.2008  23:40           466.525 cLTuutwa.ini
29.06.2008  23:39           466.525 cLTuutwa.ini2
29.06.2008  16:44           458.332 VxbacMoq.ini
29.06.2008  16:42           458.332 VxbacMoq.ini2
29.06.2008  16:29         1.733.460 rpihnuhr.ini
29.06.2008  16:23         1.733.400 smmjgkeh.ini
29.06.2008  15:53           458.079 kUFLUvut.ini
29.06.2008  15:53           458.079 kUFLUvut.ini2
29.06.2008  14:05         1.733.400 nghvqtun.ini
29.06.2008  00:07            33.280 efcCtUlI.dll
27.06.2008  16:38           400.464 perfh009.dat
27.06.2008  16:38            60.624 perfc009.dat
27.06.2008  16:38           414.766 perfh007.dat
27.06.2008  16:38            73.508 perfc007.dat
27.06.2008  16:38           961.472 PerfStringBackup.INI
22.06.2008  16:36         1.008.768 ieconfig_1und1.dll
11.06.2008  21:34                16 coh.cache

Verzeichnis von C:\WINXP

19.07.2008  20:46               350 WindowsUpdate.log
19.07.2008  20:27                50 wiaservc.log
19.07.2008  20:27               157 wiadebug.log
19.07.2008  20:26             2.048 bootstat.dat
19.07.2008  20:25            32.632 SchedLgU.Txt
19.07.2008  20:24             3.509 BM9fe8edb7.txt
19.07.2008  20:06                 0 BM9fe8edb7.xml
19.07.2008  18:55                22 pskt.ini
18.07.2008  18:56               438 lexstat.ini
18.07.2008  18:48                92 dellstat.ini
18.07.2008  17:02               114 tdf.dii
18.07.2008  17:02             3.275 tm.ini
15.07.2008  19:49               765 wininit.ini
12.07.2008  22:18                69 NeroDigital.ini
28.06.2008  09:43                34 cdplayer.ini
07.03.2008  21:33             7.680 Thumbs.db

Verzeichnis von C:\WINXP\Prefetch

19.07.2008  20:46            11.638 FIND.EXE-306D7099.pf
19.07.2008  20:46            11.462 CMD.EXE-2AAB9DAB.pf
19.07.2008  20:45            21.756 NOTEPAD.EXE-0815DEA3.pf
19.07.2008  20:45            19.516 HIJACKTHIS.EXE-1CB4CC24.pf
19.07.2008  20:44            57.446 WMIPRVSE.EXE-2F9046ED.pf
19.07.2008  20:44           110.856 FIREFOX.EXE-1D57670A.pf
19.07.2008  20:44            24.648 REGSVR16.EXE-334EA3E7.pf
19.07.2008  20:42            17.172 CCLEANER.EXE-065E2F3F.pf
19.07.2008  20:41            23.138 CCSETUP209.EXE-10C90978.pf
19.07.2008  20:28            14.622 SVCHOST.EXE-064839DA.pf
19.07.2008  20:27            16.556 ALG.EXE-069F9A25.pf
19.07.2008  20:27            70.908 NMIndexStoreSvr.exe-1DBCF9FD.pf
19.07.2008  20:27            17.936 NSVCLOG.EXE-3AFF1CEB.pf
19.07.2008  20:27            21.224 NSVCIP.EXE-24A298DC.pf
19.07.2008  20:27            23.462 IGDCTRL.EXE-0A3A79FA.pf
19.07.2008  20:27            12.812 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
19.07.2008  20:27            31.990 APACHE.EXE-12A41257.pf
19.07.2008  20:27            17.634 WLANNETSERVICE.EXE-2A83BAF2.pf
19.07.2008  20:27             9.004 CRYPSERV.EXE-37F546C6.pf
19.07.2008  20:27           805.742 NTOSBOOT-B00DFAAD.pf
19.07.2008  20:27            12.130 AAVUS.EXE-279C8C77.pf
19.07.2008  20:25             7.078 NCLINSTALLER.EXE-29B54FA6.pf
19.07.2008  20:25            18.980 LOGONUI.EXE-308706F5.pf
19.07.2008  20:24            33.482 WINADM.EXE-10C73548.pf
19.07.2008  20:01            19.930 FSBL.EXE-23DF885B.pf
19.07.2008  20:00            59.952 WINADMD.EXE-0E34F41B.pf
19.07.2008  19:59            15.366 REGEDIT.EXE-3B104B33.pf
19.07.2008  19:56            46.836 MBAM.EXE-11D8BBD8.pf
19.07.2008  19:56             7.670 MBAMTRAYCTRL.EXE-2AFAD734.pf
19.07.2008  19:54            48.696 RUNSCANNER.EXE-354B7DF7.pf
19.07.2008  19:52            75.166 TRILLIAN.EXE-01985CD0.pf
19.07.2008  19:32            70.286 USENEXT.EXE-1681815B.pf
19.07.2008  19:24            25.816 RUNDLL32.EXE-28EA81F5.pf
19.07.2008  19:16            63.070 LEGOINDY.EXE-09CF54E9.pf
19.07.2008  18:58            22.250 RUNDLL32.EXE-1F2A740E.pf
19.07.2008  18:58            45.754 DRWTSN32.EXE-30BBC28E.pf
19.07.2008  18:55            17.296 RUNDLL32.EXE-39A40C6C.pf
19.07.2008  18:55            14.842 RUNDLL32.EXE-27968050.pf
19.07.2008  18:53            47.350 DWWIN.EXE-2B5302A0.pf
19.07.2008  18:53            15.310 RUNDLL32.EXE-12A9C946.pf
19.07.2008  18:25            64.728 HELPSVC.EXE-09BE1947.pf
19.07.2008  18:24           405.856 Layout.ini
19.07.2008  17:35            25.674 ACDSEEQV.EXE-05193191.pf
19.07.2008  17:16            25.512 WINRAR.EXE-3588DFE8.pf
19.07.2008  17:16            21.060 VERCLSID.EXE-1C385444.pf
19.07.2008  17:13            18.144 REGSVR32.EXE-2CB1139E.pf
19.07.2008  17:13            21.868 MBAM-SETUP.TMP-0F404443.pf
19.07.2008  17:13            16.044 MBAM-SETUP.EXE-2DE2E10F.pf
19.07.2008  16:38            30.392 GOOGLEUPDATER.EXE-36CE3796.pf
19.07.2008  16:34            22.284 MP3DIRECTCUT.EXE-35F8F670.pf
19.07.2008  16:33            70.014 WMPLAYER.EXE-09969338.pf
19.07.2008  16:33            13.624 REGSVR16.EXE-334EA3ED.pf
19.07.2008  16:33            26.454 ACRORD32INFO.EXE-30CEC19C.pf
19.07.2008  16:11            60.378 WMPLAYER.EXE-0996933A.pf
19.07.2008  16:11            13.722 REGSVR16.EXE-334EA3EF.pf
19.07.2008  16:10            68.482 SKYPEPM.EXE-03F1BFBD.pf
19.07.2008  16:10            62.452 SKYPE.EXE-2835B26D.pf
19.07.2008  15:09            17.934 IMAPI.EXE-20F8CDD2.pf
19.07.2008  13:09            80.702 WINWORD.EXE-3395695A.pf
19.07.2008  13:05            83.856 ACRORD32.EXE-0EC716D9.pf
19.07.2008  11:32            19.998 NOTEPAD.EXE-02406CD4.pf
18.07.2008  21:33            87.566 MSIEXEC.EXE-0BEEA39E.pf
18.07.2008  19:49            26.316 TASKMGR.EXE-2D2BCF51.pf
18.07.2008  19:48           117.934 VLC.EXE-29851A71.pf
18.07.2008  19:33            20.166 RUNDLL32.EXE-3FAF52DE.pf
13.07.2008  20:38            78.260 LUCOMS~1.EXE-02DB5950.pf
13.07.2008  20:27            47.754 LUALL.EXE-0DE1F33B.pf
13.07.2008  20:27            79.190 LUCALLBACKPROXY.EXE-0B5F632D.pf
17.11.2007  15:02            60.018 UPDATE.EXE-0AB5FE41.pf

 Verzeichnis von C:\WINXP\tasks

19.07.2008  20:26                 6 SA.DAT
23.08.2001  14:00                65 desktop.ini

Verzeichnis von C:\WINXP\temp

19.07.2008  20:27            40.960 rtdrvmon.exe
               1 Datei(en)         40.960 Bytes

Verzeichnis von C:\DOKUME~1\husch\LOKALE~1\Temp

19.07.2008  20:46           131.852 filelist.txt
19.07.2008  20:44           114.688 ~DF4802.tmp
19.07.2008  20:26            16.384 ~DF98E2.tmp
19.07.2008  20:26            16.384 ~DF34E7.tmp
19.07.2008  20:24            22.371 b300x100.tmp
19.07.2008  20:24            22.371 b250x250.tmp
19.07.2008  20:24            22.371 b240x400.tmp
19.07.2008  20:24            22.371 b300x250.tmp
19.07.2008  20:24            22.371 b336x280.tmp
19.07.2008  20:24            22.371 b125x125.tmp
19.07.2008  20:24            22.371 b120x90.tmp
19.07.2008  20:24            22.371 b720x300.tmp
19.07.2008  20:24            22.371 b468x60.tmp
19.07.2008  20:24            22.371 b180x150.tmp
19.07.2008  20:15            22.371 b234x60.tmp
19.07.2008  20:00            16.384 ~DFB987.tmp
19.07.2008  19:56            16.384 ~DFC087.tmp
19.07.2008  19:52            16.384 ~DFD317.tmp
19.07.2008  18:58            16.384 ~DFEB44.tmp
19.07.2008  17:24            22.371 b160x600.tmp
19.07.2008  17:21            22.371 b728x90.tmp
19.07.2008  17:07            22.371 b120x600.tmp
19.07.2008  17:05            22.371 b120x240.tmp
19.07.2008  16:33             1.384 wmplog05.sqm
19.07.2008  16:32             1.492 wmplog04.sqm
19.07.2008  16:30             1.384 wmplog03.sqm
19.07.2008  16:29             1.456 wmplog02.sqm
19.07.2008  16:26             1.384 wmplog01.sqm
19.07.2008  16:19             1.448 wmplog00.sqm
19.07.2008  15:13               916 java_install_reg.log
19.07.2008  15:12               495 jusched.log
19.07.2008  15:07            16.384 ~DF3EA1.tmp
18.07.2008  21:33             1.139 java_install_sp.log
18.07.2008  21:33                 0 java_install.log
18.07.2008  21:32             9.594 jinstall.cfg
18.07.2008  20:45            16.384 ~DF87D7.tmp
18.07.2008  20:45            16.384 ~DF25A.tmp
18.07.2008  19:30            16.384 ~DF9C11.tmp
18.07.2008  19:30            16.384 ~DF52A9.tmp
18.07.2008  19:28            40.960 rtdrvmon.exe
18.07.2008  17:00            16.384 ~DF3ABD.tmp
18.07.2008  15:23            16.384 ~DF2903.tmp
17.07.2008  16:34            16.384 ~DF92C0.tmp
17.07.2008  16:34            16.384 ~DFFAA2.tmp
16.07.2008  18:48             9.312 BCG68.tmp
16.07.2008  18:20             9.312 BCG39.tmp
16.07.2008  18:19            16.384 ~DF22C5.tmp
16.07.2008  17:40            16.384 ~DF26F1.tmp
16.07.2008  17:32             6.144 NER68.tmp
16.07.2008  17:32             4.096 BCG66.tmp
16.07.2008  17:23             4.096 BCG51.tmp
16.07.2008  16:38            16.384 ~DF5894.tmp
16.07.2008  16:29            16.384 ~DFB199.tmp
16.07.2008  16:29            16.384 ~DF3799.tmp
16.07.2008  16:28            16.384 ~DF4F58.tmp
16.07.2008  04:31            16.384 ~DF8CCB.tmp
16.07.2008  04:31            16.384 ~DF98ED.tmp
15.07.2008  22:25        10.844.896 fla190.tmp
15.07.2008  18:24            16.384 Perflib_Perfdata_7e8.dat
15.07.2008  18:16            16.384 ~DF2A54.tmp
15.07.2008  18:16            16.384 ~DF5D94.tmp
15.07.2008  13:10            16.384 ~DF8ACF.tmp
15.07.2008  13:10            16.384 ~DF64EA.tmp
14.07.2008  20:03            16.384 ~DF4F5.tmp
14.07.2008  16:35            16.384 ~DF75D9.tmp
13.07.2008  20:47            16.384 ~DF9EE9.tmp
13.07.2008  20:47            16.384 ~DF231B.tmp
13.07.2008  20:42            16.384 ~DF54DC.tmp
13.07.2008  20:42            16.384 ~DF4CD.tmp
13.07.2008  20:41            49.050 d66_appcompat.txt
13.07.2008  20:40        22.097.492 SymNRT 7-13-2008 20h38m6s.log
13.07.2008  20:38           181.775 Sym150.tmp
13.07.2008  14:04            16.384 ~DFF80A.tmp
13.07.2008  14:03            16.384 ~DF3E6E.tmp
13.07.2008  14:02            16.384 ~DF6D9D.tmp
13.07.2008  14:02            16.384 ~DF6702.tmp
13.07.2008  13:11            22.253 Turkish.bin
13.07.2008  13:11            21.964 Norwegian.bin
13.07.2008  13:11            26.080 Hungarian.bin
13.07.2008  13:11            19.553 Hebrew.bin
13.07.2008  13:11            25.071 Portuguese(Brazil).bin
13.07.2008  13:11            24.312 Czech.bin
13.07.2008  13:11            24.221 Polish.bin
13.07.2008  13:11            22.857 Finnish.bin
13.07.2008  13:11            25.082 Greek.bin
13.07.2008  13:11            21.976 Thai.bin
13.07.2008  13:11            20.972 Arabic.bin
13.07.2008  13:11            16.408 SimChin.bin
13.07.2008  13:11            21.914 English.bin
13.07.2008  13:11            26.260 Portuguese.bin
13.07.2008  13:11            16.384 ~DFE48C.tmp
13.07.2008  13:11            24.082 SWEDISH.bin
13.07.2008  13:11            27.753 Spanish.bin
13.07.2008  13:11            27.410 Italian.bin
13.07.2008  13:11            26.126 Russian.bin
13.07.2008  13:11            25.747 Dutch.bin
13.07.2008  13:11            27.235 French.bin
13.07.2008  13:11            16.949 TradChin.bin
13.07.2008  13:11            25.753 German.bin
13.07.2008  13:11            22.783 Danish.bin
13.07.2008  13:11            20.135 Korean.bin
13.07.2008  13:11            24.297 Japanese.bin
13.07.2008  13:11            16.384 ~DF2BD8.tmp
20.06.2008  17:17           686.156 20062008095.jpg
11.06.2008  21:27           309.582 Norton Setup 1,0,0 6-11-2008 21h24m38s.log
11.06.2008  21:26         8.542.150 Norton 360 Online 6-11-2008 21h24m40s.log
         


Alt 19.07.2008, 20:02   #21
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Hi,
also, habe alles so gemacht wie gewünscht. Neustart hatte ich durchgeführt und es scheint auch alles wieder zu funktionieren ... Du bist der / Ihr seid die Größte(n) !!!

Ich weiß nicht, ob der "Fall" damit abgeschlossen ist. Aber mal davon ausgehend hätte ich schon noch paar kurze Fragen:

1. Kannst Du sagen, wo ich mir die Scheiße eingefangen habe?? Angefangen hat eigentlich alles, nachdem ich Spybot und Norton360 installiert hatte! Spybot kann ich auch jetzt noch nicht ausführen, dass meldet sich 1 Mio. mal pro Minute! Norton hab ich wieder abbestellt (1&1) und deinstalliert, zumindest was meine Kenntnis angeht!
2. Kannst Du mir Tipps geben, wie ich mich zukünftig am besten und Sichersten schütze?! Ich kann 100 Leute fragen und bekomme dann 100 verschiedene Antworten! Da Du Dich aber anscheinend "ein wenig" auskennst ...
3. Woher nimmst Du die Motivation, Deine Freizeit für solche ahnungslosen Hobby-Piloten wie mich zu "verschwenden"?!?!

ICH DANKE OHNE ENDE!!! (...und hoffe, dass ich nicht so schnell wieder anfragen muss...)

Beste Grüße und einen schönen Sonntag!

Der Sambal

Alt 20.07.2008, 05:38   #22
nochdigger
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Moin

Zitat:
habe alles so gemacht wie gewünscht. Neustart hatte ich durchgeführt und es scheint auch alles wieder zu funktionieren ...
das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte HijackThis mit der Option - Scan - und hake diese Einträge an
Zitat:
O2 - BHO: (no name) - {02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
O2 - BHO: (no name) - {04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
O2 - BHO: (no name) - {08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
O2 - BHO: (no name) - {0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
O2 - BHO: (no name) - {115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
O2 - BHO: (no name) - {14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
O2 - BHO: (no name) - {1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
O2 - BHO: (no name) - {30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
O2 - BHO: (no name) - {35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
O2 - BHO: (no name) - {37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
O2 - BHO: (no name) - {38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
O2 - BHO: (no name) - {39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
O2 - BHO: (no name) - {3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
O2 - BHO: (no name) - {435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
O2 - BHO: (no name) - {4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
O2 - BHO: (no name) - {4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
O2 - BHO: (no name) - {4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
O2 - BHO: (no name) - {4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
O2 - BHO: (no name) - {50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
O2 - BHO: (no name) - {552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
O2 - BHO: (no name) - {56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
O2 - BHO: (no name) - {58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
O2 - BHO: (no name) - {5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
O2 - BHO: (no name) - {61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
O2 - BHO: (no name) - {6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
O2 - BHO: (no name) - {6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
O2 - BHO: (no name) - {68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
O2 - BHO: (no name) - {68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
O2 - BHO: (no name) - {6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
O2 - BHO: (no name) - {70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
O2 - BHO: (no name) - {78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
O2 - BHO: (no name) - {7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
O2 - BHO: (no name) - {7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
O2 - BHO: (no name) - {89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
O2 - BHO: (no name) - {8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
O2 - BHO: (no name) - {8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
O2 - BHO: (no name) - {8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
O2 - BHO: (no name) - {94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
O2 - BHO: (no name) - {99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
O2 - BHO: (no name) - {9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
O2 - BHO: (no name) - {9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
O2 - BHO: (no name) - {A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
O2 - BHO: (no name) - {A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
O2 - BHO: (no name) - {AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
O2 - BHO: (no name) - {BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
O2 - BHO: (no name) - {CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
O2 - BHO: (no name) - {cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
O2 - BHO: (no name) - {D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
O2 - BHO: (no name) - {D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
O2 - BHO: (no name) - {D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
O2 - BHO: (no name) - {D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
O2 - BHO: (no name) - {e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
O2 - BHO: (no name) - {e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
O2 - BHO: (no name) - {EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
O2 - BHO: (no name) - {FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
O3 - Toolbar: (no name) - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O4 - HKLM\..\Run: [BM9fe8edb7] Rundll32.exe "C:\WINXP\system32\hreyhlfm.dll",s
O20 - Winlogon Notify: efcCtUlI - C:\WINXP\
klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 20.07.2008, 09:18   #23
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Moin


das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte HijackThis mit der Option - Scan - und hake diese Einträge an

klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.21
Datenbank Version: 969
Windows 5.1.2600 Service Pack 2

10:13:15 20.07.2008
mbam-log-7-20-2008 (10-13-07).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47105
Laufzeit: 2 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\byXqromn.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nmorqXyb.ini (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nmorqXyb.ini2 (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\efcCtUlI.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\BM9fe8edb7.xml (Trojan.Vundo) -> No action taken.
C:\WINXP\BM9fe8edb7.txt (Trojan.Vundo) -> No action taken.
         

Alt 20.07.2008, 09:20   #24
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Moin


das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte HijackThis mit der Option - Scan - und hake diese Einträge an

klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
Code:
ATTFilter
    Dateiname :  	  rtdrvmon.exe
    Größe : 	  40960 byte
    Typ : 	  MS-DOS executable (EXE), OS/2 or MS Windows
    MD5 : 	  945d09c0925f771f907dee3d0452ecf4
    SHA1 : 	  ff415844573771abfe90ee7b5639ac033b319df3

Scan Ergebnis
    Scan Ergebnis : 	  3% der Scanner (1/36) haben Malware gefunden!
    Scanner ↓ 	Engine Ver 	Sig Ver 	Sig Datum 	Scan Ergebnis 	Zeit
    a-squared 	3.0.0.126 	2007.12.28 	2007-12-28 	
    -
    	3.719
    AhnLab V3 	2007.12.29.01 	2007.12.29 	2007-12-29 	
    -
    	4.671
    AntiVir 	7.6.0.46 	7.0.1.177 	2007-12-30 	
    -
    	0.000
    Arcavir 	1.0.4 	200712300951 	2007-12-30 	
    -
    	24.462
    AVAST! 	1.0.8 	071230-0 	2007-12-30 	
    -
    	36.561
    AVG 	7.5.49.442 	269.17.12/1203 	2007-12-30 	
    -
    	32.101
    BitDefender 	7.60825.962776 	7.16596 	2007-12-31 	
    -
    	0.000
    CA (VET) 	9.0.0.143 	31.3.5412 	2007-12-29 	
    -
    	10.698
    ClamAV 	0.91.2 	5298 	2007-12-31 	
    -
    	0.187
    Comodo 	2.11 	2.0.0.389 	2007-12-30 	
    -
    	5.621
    CP Secure 	1.1.0.655 	2007.12.30 	2007-12-30 	
    -
    	87.064
    Dr.Web 	4.44.0.9170 	2007.12.30 	2007-12-30 	
    -
    	60.288
    ewido 	4.0.0.2 	2007.12.30 	2007-12-30 	
    -
    	6.606
    F-Prot 	4.4.1.52 	20071229 	2007-12-29 	
    -
    	29.592
    F-Secure 	5.51.6100 	2007.12.28.04 	2007-12-28 	
    -
    	51.433
    Fortinet 	2.81-3.11 	8.449 	2007-12-03 	
    -
    	1.851
    Ikarus 	T3.1.01.15 	2007.12.30.70071 	2007-12-30 	
    -
    	6.174
    JiangMin 	10.00.650 	2007.12.28 	2007-12-28 	
    -
    	4.981
    Kaspersky 	5.5.10 	2007.12.30 	2007-12-30 	
    -
    	86.928
    KingSoft 	2007.6.20.249 	2007.12.30 	2007-12-30 	
    -
    	4.622
    McAfee 	5.2.00 	5195 	2007-12-28 	
    -
    	22.744
    mks_vir 	2.01 	2007.12.30 	2007-12-30 	
    -
    	0.000
    NOD32 	2.70.10 	2757 	2007-12-30 	
    -
    	0.010
    Norman 	5.91.08 	5.90 	2007-12-27 	
    -
    	65.903
    nProtect 	2007-12-30.00 	1106902 	2007-12-30 	
    -
    	8.834
    Panda 	9.04.03.0001 	2007.12.30 	2007-12-30 	
    -
    	5.883
    Prevx 	V2 	20071231 	2007-12-31 	
    TROJAN.DOWNLOADER.GEN
    	7.660
    Quick Heal 	9.00 	2007.12.29 	2007-12-29 	
    -
    	7.338
    Rising 	19.0 	20.24.52.00 	2007-12-29 	
    -
    	5.831
    Sophos 	2.49.1 	4.21 	2007-12-30 	
    -
    	0.000
    Symantec 	1.3.0.24 	20071230.003 	2007-12-30 	
    -
    	0.055
    The Hacker 	6.2.9 	v00175 	2007-12-29 	
    -
    	5.412
    Trend Micro 	8.500-1001 	4.920.21 	2007-12-30 	
    -
    	0.053
    VBA32 	3.12.2.5 	20071229.2021 	2007-12-29 	
    -
    	18.198
    ViRobot 	20071228 	2007.12.28 	2007-12-28 	
    -
    	5.227
    VirusBuster 	4.3.19:9 	9.118.10/11.0 	2007-12-30 	
    -
    	22.259
         

Alt 20.07.2008, 11:32   #25
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Moin


das ist leider keine Garantie, dass das System auch sauber ist.

Deaktiviere bitte den Teatimer (hab ich übersehen)

Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.


Starte HijackThis mit der Option - Scan - und hake diese Einträge an

klicke nun - fix checked - und beende Hijackthis.

Ziehe bitte ein Update für Malwarebytes und lass das Programm erneut laufen.

Lass bitte diese Dateien

C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\temp\rtdrvmon.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Edit: Auf deine Fragen komme ich noch zurück
Code:
ATTFilter
    rtdrvmon.exe
    Größe : 	  40960 byte
    Typ : 	  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    MD5 : 	  945d09c0925f771f907dee3d0452ecf4
    SHA1 : 	  ff415844573771abfe90ee7b5639ac033b319df3

Scan Ergebnis
    Scan Ergebnis : 	  Es wurde keine Infektion ermittelt!
    Zeit : 	  2008/07/20 12:29:01 (CEST)
    Scanner ↓ 	Engine Ver 	Sig Ver 	Sig Datum 	Scan Ergebnis 	Zeit
    a-squared 	3.5.0.22 	2008.07.19 	2008-07-19 	
    -
    	2.367
    AhnLab V3 	2008.07.19.00 	2008.07.19 	2008-07-19 	
    -
    	0.846
    AntiVir 	7.8.1.11 	7.0.5.139 	2008-07-19 	
    -
    	2.068
    Arcavir 	1.0.4 	200807151947 	2008-07-15 	
    -
    	1.179
    AVAST! 	3.0.1 	080720-0 	2008-07-20 	
    -
    	0.638
    AVG 	7.5.51.442 	270.5.2/1562 	2008-07-19 	
    -
    	1.494
    BitDefender 	7.60825.1382179 	7.20099 	2008-07-20 	
    -
    	2.561
    CA (VET) 	9.0.0.143 	31.6.5966 	2008-07-18 	
    -
    	0.681
    ClamAV 	0.93.3 	7760 	2008-07-20 	
    -
    	0.017
    Comodo 	2.11 	2.0.0.591 	2008-07-20 	
    -
    	0.418
    CP Secure 	1.1.0.715 	2008.07.20 	2008-07-20 	
    -
    	5.876
    Dr.Web 	4.44.0.9170 	2008.07.20 	2008-07-20 	
    -
    	2.974
    ewido 	4.0.0.2 	2008.07.20 	2008-07-20 	
    -
    	2.327
    F-Prot 	4.4.4.56 	20080719 	2008-07-19 	
    -
    	0.960
    F-Secure 	5.51.6100 	2008.07.19.01 	2008-07-19 	
    -
    	2.733
    Fortinet 	2.81-3.11 	0.0 	2008-07-20 	
    -
    	0.153
    Ikarus 	T3.1.01.34 	2008.07.20.71125 	2008-07-20 	
    -
    	3.221
    JiangMin 	11.0.706 	2008.07.20 	2008-07-20 	
    -
    	1.143
    Kaspersky 	5.5.10 	2008.07.20 	2008-07-20 	
    -
    	0.047
    KingSoft 	2008.1.14.15 	2008.7.20.15 	2008-07-20 	
    -
    	0.669
    McAfee 	5.2.00 	5342 	2008-07-18 	
    -
    	2.027
    Microsoft 	1.3704 	2008.07.20 	2008-07-20 	
    -
    	4.484
    mks_vir 	2.01 	2008.07.18 	2008-07-18 	
    -
    	2.426
    Norman 	5.93.01 	5.93.00 	2008-07-18 	
    -
    	4.405
    nProtect 	2008-07-18.00 	1694476 	2008-07-18 	
    -
    	3.726
    Panda 	9.05.01 	2008.07.19 	2008-07-19 	
    -
    	2.635
    Quick Heal 	9.50 	2008.07.15 	2008-07-15 	
    -
    	1.562
    Rising 	20.0 	20.53.62.00 	2008-07-20 	
    -
    	0.785
    Sophos 	2.75.4 	4.31 	2008-07-20 	
    -
    	1.896
    Sunbelt 	3.1.1536.1 	2156 	2008-07-18 	
    -
    	0.698
    Symantec 	1.3.0.24 	20080719.005 	2008-07-19 	
    -
    	0.051
    The Hacker 	6.2.96 	v00385 	2008-07-19 	
    -
    	0.393
    Trend Micro 	8.700-1004 	5.418.20 	2008-07-19 	
    -
    	0.034
    VBA32 	3.12.8.1 	20080719.0729 	2008-07-19 	
    -
    	1.057
    ViRobot 	20080719 	2008.07.19 	2008-07-19 	
    -
    	0.403
    VirusBuster 	4.5.11.10 	10.82.12/595718 	2008-07-15 	
    -
    	0.798
         

Alt 20.07.2008, 11:40   #26
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Hallo,

die Malwarebytes-Log war übrigens 2 Kb groß.

Den Teatimer bzw. Spybot habe ich ausgeschaltet.

Den Log der rtdrvmon habe ich gepostet. Wahrscheinlich einmal falsch und beim 2. Mal hoffentlich richtig.

Die winmask32.dll ergibt folgende Ergebnisse:
1. virscan: "ERROR: Kann Datei nicht finden"
2. virustotal: "Service Temporarily Unavailable"
3. jotti: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file".

MfG

Alt 20.07.2008, 17:20   #27
nochdigger
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Hallo

machen wir mit Combofix weiter
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 20.07.2008, 17:58   #28
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

machen wir mit Combofix weiter
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG
Code:
ATTFilter
ComboFix 08-07-19.1 - husch 2008-07-20 18:49:54.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1532 [GMT 2:00]
ausgeführt von:: C:\Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINXP\pskt.ini
C:\WINXP\system32\aoiwtdiw.ini
C:\WINXP\system32\ayHOnUvw.ini
C:\WINXP\system32\ayHOnUvw.ini2
C:\WINXP\system32\celvmy.dll
C:\WINXP\system32\cjxcza.dll
C:\WINXP\system32\cLTuutwa.ini
C:\WINXP\system32\cLTuutwa.ini2
C:\WINXP\system32\cvjvulwj.dll
C:\WINXP\system32\deilnuen.ini
C:\WINXP\system32\embyffgm.dll
C:\WINXP\system32\eOnVCcdd.ini
C:\WINXP\system32\eOnVCcdd.ini2
C:\WINXP\system32\exkgpfvo.dll
C:\WINXP\system32\feljtevh.ini
C:\WINXP\system32\firjepmm.dll
C:\WINXP\system32\fmhgwo.dll
C:\WINXP\system32\hdbuynhn.ini
C:\WINXP\system32\hreyhlfm.dll
C:\WINXP\system32\iclqmryy.ini
C:\WINXP\system32\ioiicu.dll
C:\WINXP\system32\irttvowi.dll
C:\WINXP\system32\kbljlr.dll
C:\WINXP\system32\kcnqkfdq.ini
C:\WINXP\system32\kdvevs.dll
C:\WINXP\system32\khlxqlte.dll
C:\WINXP\system32\kUFLUvut.ini
C:\WINXP\system32\kUFLUvut.ini2
C:\WINXP\system32\lsobndlf.dll
C:\WINXP\system32\mcrh.tmp
C:\WINXP\system32\midswdqm.ini
C:\WINXP\system32\mpmvyuco.ini
C:\WINXP\system32\mrinhfxr.ini
C:\WINXP\system32\nghvqtun.ini
C:\WINXP\system32\ntsgdh.dll
C:\WINXP\system32\nuaalxhr.ini
C:\WINXP\system32\oilxhpqe.dll
C:\WINXP\system32\okxcfndg.dll
C:\WINXP\system32\pnasofny.dll
C:\WINXP\system32\qaqhdbsy.dll
C:\WINXP\system32\qnuxjuau.dll
C:\WINXP\system32\qtcqsdme.dll
C:\WINXP\system32\qvhxqequ.ini
C:\WINXP\system32\QXacefii.ini
C:\WINXP\system32\QXacefii.ini2
C:\WINXP\system32\rgfkfbry.dll
C:\WINXP\system32\rkwxal.dll
C:\WINXP\system32\rpihnuhr.ini
C:\WINXP\system32\RYacLRqr.ini
C:\WINXP\system32\RYacLRqr.ini2
C:\WINXP\system32\smmjgkeh.ini
C:\WINXP\system32\spwibqfb.dll
C:\WINXP\system32\tavopron.dll
C:\WINXP\system32\uvcuurxq.dll
C:\WINXP\system32\uxemcgfa.dll
C:\WINXP\system32\vllxlems.ini
C:\WINXP\system32\vwnhsebc.ini
C:\WINXP\system32\VxbacMoq.ini
C:\WINXP\system32\VxbacMoq.ini2
C:\WINXP\system32\wkodgb.dll
C:\WINXP\system32\xafpebli.ini
C:\WINXP\system32\xckqnt.dll
C:\WINXP\system32\xjrsoncc.dll
C:\WINXP\system32\xqduhe.dll
C:\WINXP\system32\zklpyc.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-06-20 bis 2008-07-20  ))))))))))))))))))))))))))))))
.

2008-07-20 17:45 . 2008-07-20 18:46	110,491	--a------	C:\WINXP\BM9fe8edb7.xml
2008-07-19 20:41 . 2008-07-19 20:41	<DIR>	d--------	C:\Programme\CCleaner
2008-07-19 17:16 . 2008-07-19 17:16	<DIR>	d--------	C:\Runscanner
2008-07-19 17:13 . 2008-07-19 17:13	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-19 17:13 . 2008-07-19 17:13	<DIR>	d--------	C:\Dokumente und Einstellungen\husch\Anwendungsdaten\Malwarebytes
2008-07-19 17:13 . 2008-07-19 17:13	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2008-07-19 17:13 . 2008-07-18 19:15	36,472	--a------	C:\WINXP\system32\drivers\mbamswissarmy.sys
2008-07-19 17:13 . 2008-07-18 19:15	17,144	--a------	C:\WINXP\system32\drivers\mbam.sys
2008-07-19 16:27 . 2008-07-19 16:27	12,443	---hs----	C:\AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Large.jpg
2008-07-19 16:27 . 2008-07-19 16:27	2,757	---hs----	C:\AlbumArt_{31EB5865-2BFF-47E3-B31B-BAD5B584C17C}_Small.jpg
2008-07-19 14:39 . 2008-07-19 14:42	<DIR>	d--------	C:\Experience.112.GERMAN-ENiGMA
2008-07-18 21:36 . 2008-07-18 21:36	<DIR>	d--------	C:\WINXP\Sun
2008-07-18 21:33 . 2008-07-18 21:33	<DIR>	d--------	C:\Programme\Java
2008-07-18 21:33 . 2008-06-10 02:32	73,728	--a------	C:\WINXP\system32\javacpl.cpl
2008-07-18 21:32 . 2008-07-18 21:32	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-07-18 19:19 . 2008-07-19 13:12	<DIR>	d--------	C:\temp
2008-07-18 18:53 . 2008-07-18 18:53	<DIR>	d--------	C:\Programme\FaxTools
2008-07-18 18:53 . 2008-07-18 18:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\BVRP Software
2008-07-18 18:48 . 2008-07-18 18:48	92	--a------	C:\WINXP\dellstat.ini
2008-07-18 18:45 . 2008-07-18 18:45	<DIR>	d--------	C:\Programme\Lexmark 1200 Series
2008-07-01 17:30 . 2008-07-01 17:30	<DIR>	d--------	C:\WINXP\system32\xircom
2008-07-01 17:30 . 2008-07-01 17:30	<DIR>	d--------	C:\Programme\microsoft frontpage
2008-06-30 21:41 . 2008-06-30 21:41	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-06-30 21:41 . 2008-06-30 21:41	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\IEConfiguration1und1
2008-06-29 14:23 . 2008-07-15 19:49	765	--a------	C:\WINXP\wininit.ini
2008-06-22 16:36 . 2008-06-22 16:36	<DIR>	d--------	C:\Programme\1&1
2008-06-22 16:36 . 2008-06-22 16:36	<DIR>	d--h-----	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{411234A5-A7C5-4628-A4D3-64C942F8C38C}
2008-06-22 16:36 . 2008-06-22 16:36	1,008,768	--a------	C:\WINXP\system32\ieconfig_1und1.dll
2008-06-22 16:35 . 2008-06-22 16:35	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 16:47	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Spybot - Search & Destroy
2008-07-20 15:56	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Google Updater
2008-07-19 21:22	---------	d-----w	C:\Dokumente und Einstellungen\husch\Anwendungsdaten\Skype
2008-07-19 18:25	---------	d-----w	C:\Programme\Trillianneu
2008-07-19 18:18	---------	d-----w	C:\Dokumente und Einstellungen\husch\Anwendungsdaten\UseNeXT
2008-07-18 16:53	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-07-18 15:02	---------	d-----w	C:\Programme\ElsterFormular
2008-07-13 18:42	---------	d-----w	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-13 18:40	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Symantec
2008-06-29 12:20	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\AAV
2008-06-22 14:36	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVM
2008-06-14 14:00	---------	d-----w	C:\Dokumente und Einstellungen\husch\Anwendungsdaten\The Games Company
2008-06-13 17:07	---------	d-----w	C:\Dokumente und Einstellungen\husch\Anwendungsdaten\ProtectDisc
2008-06-12 18:48	805	----a-w	C:\WINXP\system32\drivers\SYMEVENT.INF
2008-06-12 18:48	10,671	----a-w	C:\WINXP\system32\drivers\SYMEVENT.CAT
2008-06-11 19:24	54,658,464	----a-w	C:\Programme\Install_Norton360_DE.exe
2008-06-11 18:50	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-06-07 21:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Codemasters
2008-06-07 18:28	---------	d-----w	C:\Programme\Logitech
2008-06-07 18:28	---------	d-----w	C:\Programme\Gemeinsame Dateien\Logitech
2008-05-24 16:29	---------	d-----w	C:\Programme\Google
2007-11-26 20:35	22,328	----a-w	C:\Dokumente und Einstellungen\husch\Anwendungsdaten\PnkBstrK.sys
2001-02-08 13:52	24,576	--sha-w	C:\WINXP\system32\comsysh.exe
2007-11-03 23:07	16,384	--sha-w	C:\WINXP\system32\config\systemprofile\Cookies\index.dat
2007-11-03 23:07	32,768	--sha-w	C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2007-11-03 23:07	32,768	--sha-w	C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2007-11-03 23:07	32,768	--sha-w	C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007110420071105\index.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 10:27 153136]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-16 13:24 167368]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2008-01-07 22:02 495616]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2006-02-17 11:40 270336]
"JMB36X IDE Setup"="C:\WINXP\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"JMB36X Configure"="C:\WINXP\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
"NvCplDaemon"="C:\WINXP\system32\NvCpl.dll" [2007-09-17 02:07 8491008]
"NvMediaCenter"="C:\WINXP\system32\NvMcTray.dll" [2007-09-17 02:07 81920]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-05-13 02:00 1800408]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"Lexmark 2200 Series"="C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 15:15 57344]
"PCSuiteTrayApplication"="C:\Nokia\PC Suite\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]
"_winadm"="C:\WINXP\system32\winadm.exe" [2007-06-21 19:47 1134592]
"TerraTec Scheduler"="C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe" [2005-02-24 14:47 618496]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2003-11-28 11:31 1171456]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 11:38 88584]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINXP\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINXP\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-09-17 02:07 1626112 C:\WINXP\system32\nwiz.exe]
"emMON"="emMON.exe" [2006-05-30 21:24 61440 C:\WINXP\emMON.exe]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 69632 C:\WINXP\Alcmtr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Nokia.PCSync"="C:\Nokia\PC Suite\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\WINXP\\system32\\PnkBstrA.exe"=
"C:\\WINXP\\system32\\PnkBstrB.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"D:\\Spiele\\CoD4 - Modern Warfare\\iw3mp.exe"=
"D:\\Spiele\\CRYSIS\\Bin32\\Crysis.exe"=
"D:\\Spiele\\CRYSIS\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"D:\\Spiele\\DEMOS\\Race Driver Grid Demo\\GRID.exe"=
"D:\\Spiele\\Race Driver GRID\\GRID.exe"=
"C:\\Programme\\1&1\\IGDCTRL.EXE"=
"C:\\Programme\\1&1\\FBoxUpd.exe"=
"C:\\Programme\\1&1\\WebwaIgd.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AAV UpdateService;AAV UpdateService;C:\Programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 16:32]
R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\1&1\IGDCTRL.EXE [2007-10-25 17:09]
R2 OkiPar;OkiPar;C:\WINXP\system32\DRIVERS\OKIPAR.SYS [2001-10-02 11:54]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINXP\system32\DRIVERS\fwlanusb.sys [2005-05-13 02:00]
S2 BT848;Conexant's BtPCI WDM Video Capture;C:\WINXP\system32\DRIVERS\BT848.sys []
S3 Cap7134;Cinergy 200 TV Capture;C:\WINXP\system32\DRIVERS\Cap7134.sys []
S3 TTTv200;Cinergy 200 TV Tuner;C:\WINXP\system32\DRIVERS\PhTvTune.sys [2003-08-01 15:38]
S3 USB28xxBGA;USB 2800 Device;C:\WINXP\system32\DRIVERS\emBDA.sys [2006-09-12 21:21]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINXP\system32\DRIVERS\emOEM.sys [2006-08-21 23:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e545d0-8a66-11dc-a08c-806d6172696f}]
\Shell\AutoRun\command - J:\setupSNK.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{02F1680C-3D42-4ABA-A21B-60D7D702D3C5} - (no file)
BHO-{04C1FB24-13C0-4879-91E3-530480B8435D} - (no file)
BHO-{08D55B0E-5701-4FD1-A311-C72728397B36} - (no file)
BHO-{0A7F954D-87AE-4075-9173-E5197729AFB5} - (no file)
BHO-{115aba89-8931-4eb7-ab8f-d4c2144b615a} - (no file)
BHO-{14EEE55C-350A-4DCB-9755-711E339B0143} - (no file)
BHO-{1F30CC18-E60C-47F6-8491-B147611716A6} - (no file)
BHO-{1F54B5AD-6DDE-46A2-8984-206B63ED3EA5} - (no file)
BHO-{30f432d6-3d78-4f03-96bb-537bae4edbb8} - (no file)
BHO-{35AC88AE-AA2A-4BF4-8CD4-76D4A2FD978A} - (no file)
BHO-{37A8CC70-931A-4BB0-A8F9-D8ECA3E98D34} - (no file)
BHO-{38BA9558-E89A-4B12-904B-09C723ADE336} - (no file)
BHO-{39659af7-55d5-41de-bdf1-d71d9f10383f} - (no file)
BHO-{3C4727C2-BF3F-48F0-9670-33D72E2ED5C0} - (no file)
BHO-{435603ce-22b6-4136-bd34-9e424a84d292} - (no file)
BHO-{4A4F165E-8ACE-4018-A268-1EBE0A5B4DBE} - (no file)
BHO-{4CCB7895-FE8F-48D1-B6BE-13CD331EB0B6} - (no file)
BHO-{4D8D07E3-FEF2-46E1-9DE6-A8ABE8863ABD} - (no file)
BHO-{4F08C949-344E-4D5F-9998-A2F538964B29} - (no file)
BHO-{50e4dbac-4dbb-43af-b42f-1b49971040da} - (no file)
BHO-{552D71CF-C8A1-481C-A67F-99A4BCD6306C} - (no file)
BHO-{56EC59E9-4C9C-4EB8-8C7C-ED5CF78D5660} - (no file)
BHO-{58116D3D-BDDC-4527-A3BD-BEB73A7E1F99} - (no file)
BHO-{5ce2d153-1b85-4c8e-a973-f17c18a1b089} - (no file)
BHO-{61ba702a-4358-4a00-a07f-f42a6f1fe240} - (no file)
BHO-{6559ebb3-4173-43a7-8a33-f9c007a8b5c5} - (no file)
BHO-{6715F9A8-0671-4AC2-88AF-E9AFD87FCD96} - (no file)
BHO-{68b02ca5-2640-4758-9c95-1eb98f5bf0bf} - (no file)
BHO-{68ed779e-3263-4517-a46f-b0204f342b1f} - (no file)
BHO-{6F4F7B70-C56A-4BC0-94B1-AD7B819C3B60} - (no file)
BHO-{70A4B46A-0FB6-46D0-A218-7E93AE2DE733} - (no file)
BHO-{78ee0128-70eb-4af9-ae23-778ece54976b} - (no file)
BHO-{7BA9225C-6D21-4E39-BED0-4EB99F32342C} - (no file)
BHO-{7EA2C94D-292B-4EC8-B129-78DFF24754A5} - (no file)
BHO-{89EE75FD-A270-40F3-9ECC-697E2B30A72B} - (no file)
BHO-{8BDB015D-E913-41B7-B664-DC62D648AA51} - (no file)
BHO-{8FAA2F89-CA9B-4953-92C9-3BD60B72776F} - (no file)
BHO-{8fed5ebc-8cd4-441f-91b7-8c25179bc670} - (no file)
BHO-{94B590DF-35E1-49C5-8EB5-95B138ACEEB4} - (no file)
BHO-{99658FCE-F188-43BE-B47B-B9E8BDDC461C} - (no file)
BHO-{9EC58C69-3FC0-43A6-BC75-813391DBE293} - (no file)
BHO-{9f3b561f-37bd-4555-aabe-a3e6011c0f06} - (no file)
BHO-{A08D782F-5F4A-40AF-AFDD-4ACA0E970D26} - (no file)
BHO-{A24516C0-840E-43FC-82BC-EE006C9DE699} - (no file)
BHO-{AC85C27E-F74C-480D-9CB0-2A359F96C094} - (no file)
BHO-{BF0CA4FC-6378-4062-B546-3CDE8A28B1E0} - (no file)
BHO-{CCFC88CA-8F0F-496A-BE9C-CA3E99D96814} - (no file)
BHO-{cdf6799b-cb38-4821-b8c1-3af5c86b9d3c} - (no file)
BHO-{D2BBEF7C-6F22-4A47-97AC-B6A5E0E87D11} - (no file)
BHO-{D5BB29A8-24C0-4AAE-A303-14435D5A4AB8} - (no file)
BHO-{D70D5D73-1A76-49FA-AE76-3F0D80FCF6B3} - (no file)
BHO-{D83A984F-325C-4FD1-83BD-61A92D694DBC} - (no file)
BHO-{e074f63e-6109-4a69-80d1-04f06f5fd28a} - (no file)
BHO-{e4d4565d-d938-49f3-aca2-f4c2d7e89546} - (no file)
BHO-{EF6C251D-7E36-422F-A89B-80C4619E5EC7} - (no file)
BHO-{FC8EB5F6-C25F-4975-8254-5677CEB62F4F} - (no file)
HKLM-Run-BM9fe8edb7 - C:\WINXP\system32\hreyhlfm.dll
Notify-efcCtUlI - (no file)
Notify-WgaLogon - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 18:52:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\LEXPPS.EXE
C:\WINXP\system32\rundll32.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\movie - XL\j-point.exe
C:\WINXP\system32\winadmd.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINXP\system32\Crypserv.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\PnkBstrA.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINXP\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 18:55:06 - machine was rebooted
ComboFix-quarantined-files.txt  2008-07-20 16:55:04

Pre-Run: 29 Verzeichnis(se), 24,330,973,184 Bytes frei
Post-Run: 31 Verzeichnis(se), 25,133,993,984 Bytes frei

318	--- E O F ---	2008-04-16 15:38:39
         

Alt 20.07.2008, 19:07   #29
nochdigger
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Hallo

lade dir bitte Avenger

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\winxp\system32\syshost.exe
C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\byXqromn.dll
C:\WINXP\system32\byXqromn.ini
C:\WINXP\system32\byXqromn.ini2
C:\WINXP\system32\efcCtUlI.dll
C:\WINXP\BM9fe8edb7.xml
C:\WINXP\BM9fe8edb7.txt
C:\WINXP\system32\97f81a55-.txt
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Erstelle bitte nach einem Neustart ein frisches HijackThis Log sowie eine Übersicht mit der Filelist.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 20.07.2008, 19:40   #30
sambal
 
Wäre für Logfile-Durchsicht und Hilfe dankbar - Standard

Wäre für Logfile-Durchsicht und Hilfe dankbar



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo

lade dir bitte Avenger

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
c:\winxp\system32\syshost.exe
C:\WINXP\system32\Mswinmask32.dll
C:\WINXP\system32\byXqromn.dll
C:\WINXP\system32\byXqromn.ini
C:\WINXP\system32\byXqromn.ini2
C:\WINXP\system32\efcCtUlI.dll
C:\WINXP\BM9fe8edb7.xml
C:\WINXP\BM9fe8edb7.txt
C:\WINXP\system32\97f81a55-.txt
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Erstelle bitte nach einem Neustart ein frisches HijackThis Log sowie eine Übersicht mit der Filelist.

MFG
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\winxp\system32\syshost.exe" not found!
Deletion of file "c:\winxp\system32\syshost.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINXP\system32\Mswinmask32.dll" deleted successfully.

Error:  file "C:\WINXP\system32\byXqromn.dll" not found!
Deletion of file "C:\WINXP\system32\byXqromn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\byXqromn.ini" not found!
Deletion of file "C:\WINXP\system32\byXqromn.ini" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\byXqromn.ini2" not found!
Deletion of file "C:\WINXP\system32\byXqromn.ini2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINXP\system32\efcCtUlI.dll" not found!
Deletion of file "C:\WINXP\system32\efcCtUlI.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINXP\BM9fe8edb7.xml" deleted successfully.
File "C:\WINXP\BM9fe8edb7.txt" deleted successfully.
File "C:\WINXP\system32\97f81a55-.txt" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Antwort

Themen zu Wäre für Logfile-Durchsicht und Hilfe dankbar
.dll, adobe, ask toolbar, bho, browser, excel, explorer, fehlermeldung, firefox, google, helfen, hijack, hijackthis, hkus\s-1-5-18, internet explorer, logfile, mozilla, mozilla firefox, norton360, nvidia, object, regsvr32, remote control, rundll, seiten, server, software, solution, stick, system, windows, windows internet, windows internet explorer, windows xp




Ähnliche Themen: Wäre für Logfile-Durchsicht und Hilfe dankbar


  1. Logfile Auswertung wäre nett
    Log-Analyse und Auswertung - 06.11.2010 (1)
  2. Mein Internet ist Langsam! Trojaner Möglich? HijackThis gepostet wäre dankbar!
    Log-Analyse und Auswertung - 02.01.2010 (3)
  3. Bitte um Hilfe bei der Durchsicht meiner HiJackThis Log-File
    Log-Analyse und Auswertung - 11.10.2008 (1)
  4. PC, vorallem firefox sehr langsam. Logfile Auswertung wäre super!
    Log-Analyse und Auswertung - 15.09.2008 (1)
  5. Bitte um Log-File Durchsicht und hoffentlich auch Hilfe
    Log-Analyse und Auswertung - 21.07.2008 (2)
  6. ich wär für hilfe dankbar.
    Log-Analyse und Auswertung - 20.02.2008 (4)
  7. Taskleiste friert beim Start ein - Highjack-Log vorhanden - bin dankbar für Hilfe!
    Log-Analyse und Auswertung - 02.11.2007 (5)
  8. Ich bin für jede Hilfe Dankbar
    Mülltonne - 16.09.2007 (0)
  9. LogFile zur Durchsicht
    Mülltonne - 06.06.2007 (1)
  10. Bitte um Durchsicht und Hilfe
    Log-Analyse und Auswertung - 03.03.2007 (2)
  11. logfile bitte um durchsicht
    Log-Analyse und Auswertung - 02.03.2007 (3)
  12. ist das logfile ok ? wäre dankbar für schnelle hilfe
    Mülltonne - 02.12.2006 (0)
  13. kleine hilfe wäre nett :)
    Log-Analyse und Auswertung - 06.07.2006 (1)
  14. Hilfe wäre nett
    Log-Analyse und Auswertung - 15.12.2005 (3)
  15. hilfe, ich dachte mein system wäre sauber...
    Log-Analyse und Auswertung - 19.02.2005 (24)
  16. logfile ansehen, wäre nett
    Log-Analyse und Auswertung - 12.01.2005 (7)
  17. Escan + hijack logfile, wäre nett wenn sich das mal jemand anschaut
    Log-Analyse und Auswertung - 05.09.2004 (2)

Zum Thema Wäre für Logfile-Durchsicht und Hilfe dankbar - Zitat: Zitat von nochdigger Hallo Jupp Malwarebytes löschen lassen --> Log posten Blacklight scannen --> Log posten Sollte sich bald bessern MFG Code: Alles auswählen Aufklappen ATTFilter Malwarebytes' Anti-Malware 1.21 - Wäre für Logfile-Durchsicht und Hilfe dankbar...
Archiv
Du betrachtest: Wäre für Logfile-Durchsicht und Hilfe dankbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.