Hallo erstmal,

vor wenigen Tagen habe ich einige Trojaner versucht zu löschen.
Mit Spybot und Ad-Aware habe ich alles mögliche gefunden und entfernt.
Das installierte G-Data Antivirus Programm hat zwar nichts mehr gefunden,
jedoch kommt mir seitdem mein Rechner irgendwie langsamer vor.

Anbei mein log-file mit der Bitte um Hilfe:

Logfile of HijackThis v1.99.0
Scan saved at 12:27:04, on 11.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\DCxxMjpgControl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Dxqzzv.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.464\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {D7ACB3E3-DD1F-00E5-D332-FD8E26439B5F} - C:\WINDOWS\System32\fojenoc.dll
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\System32\sugauo.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [gmp3yfi] C:\WINDOWS\nlgnh.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Dxqzzv.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ptssvc - Unknown - C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe









Vielen Dank schon mal vorab.

JJHoschi

Hi,
ich vermute und sehe böses.
Bitte erstmal bei Jotti folgende Dateien online scannen und das jeweilige 10-zeilige Ergebnis reinposten:
C:\WINDOWS\System32\Dxqzzv.exe
C:\WINDOWS\System32\fojenoc.dll
C:\WINDOWS\nlgnh.exe
C:\WINDOWS\System32\Dxqzzv.exe
C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
cacatoa

Danke für die Hilfe.

Hier das scan Ergebnis:

Service load:
0% 100%
File: Dxqzzv.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
TR/Dldr.Agent.hw1.A (0.24 seconds taken)
Avast
No viruses found (3.12 seconds taken)
AVG Antivirus
Downloader.Agent.7.AF (4.03 seconds taken)
BitDefender
No viruses found (2.51 seconds taken)
ClamAV
No viruses found (1.78 seconds taken)
Dr.Web
No viruses found (3.20 seconds taken)
F-Prot Antivirus
No viruses found (0.17 seconds taken)
Fortinet
Adware/Dealhelper.V (1.24 seconds taken)
Kaspersky Anti-Virus
not-a-virus:AdWare.DealHelper.v (1.42 seconds taken)
mks_vir
No viruses found (0.47 seconds taken)
NOD32
No viruses found (0.73 seconds taken)
Norman Virus Control
No viruses found (1.58 seconds taken)



Service load:
0% 100%
File: fojenoc.dll
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
UPX

AntiVir
No viruses found (4.27 seconds taken)
Avast
No viruses found (6.37 seconds taken)
AVG Antivirus
No viruses found (1.62 seconds taken)
BitDefender
No viruses found (0.54 seconds taken)
ClamAV
No viruses found (0.44 seconds taken)
Dr.Web
No viruses found (0.85 seconds taken)
F-Prot Antivirus
No viruses found (0.14 seconds taken)
Fortinet
No viruses found (1.03 seconds taken)
Kaspersky Anti-Virus
not-a-virus:AdWare.AdultIt.a (2.01 seconds taken)
mks_vir
No viruses found (1.30 seconds taken)
NOD32
No viruses found (2.66 seconds taken)
Norman Virus Control
No viruses found (0.76 seconds taken)



C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart ist ok; ist ein
Pinnacle Prog für Videoschnittkarte.

C:\WINDOWS\nlgnh.exe ist im Windows Ordner nicht vorhanden.

Aktiviere in den Ordneroptionen "Alle Dateien anzeigen" bzw. "Geschützte Systemdateien anzeigen" und suche die Datei nochmals.

Die anderen Dateien kannst du an partytime-germany.ice@web.de senden, damit diese künftig von allen AV-Herstellern erkannt werden.

Hi Christian,

Beide Ordneroptionen sind bereits aktiviert, auch eine Suche in den Ordnern
nach der exe-Datei brachte kein Ergebnis.
Gerne sende ich die Dateien zu, was soll ich aber mit den gefundenen machen???
Einfach im abgesicherten Modus löschen???

Ja, und dann neues Logfile posten; wir müssen den Rest noch entfernen.

Superb!!! Rechner ist wieder schneller!!! Echt Klasse, eure Hilfe!!!

So, habe im abgesicherten Modus alle besagten Files gelöscht. Anschließend
habe ich Rechner normal hochgefahren und teilweise waren die Files wie
"Dxqzzv.exe" und "fojenoc.dll" immer noch im Hijack-This log. Habe diese
beiden dann gefixt und hoffe es passt jetzt halbwegs.

Anbei noch ne Frage:
Habe eScan nochmal über mein System laufen lassen und zusätzlich wurden diese Dateien gefunden, auf die ich aber nie zugreifen kann oder konnte:

Fri Feb 11 21:10:58 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP4\A0000153.exe infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.
Fri Feb 11 21:10:58 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP4\A0000152.dll infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.
Fri Feb 11 21:10:56 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP4\A0000136.exe infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.
Fri Feb 11 21:08:08 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP10\A0001799.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Fri Feb 11 21:08:07 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP10\A0001798.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Fri Feb 11 21:08:07 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP10\A0001797.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
Fri Feb 11 21:07:52 2005 => File C:\System Volume Information\_restore{4BD5BEAC-EFE7-404B-AF6F-E5907A4209DC}\RP1\A0000051.dll infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.

WAS SOLL ICH HIERBEI MACHEN, HMM???

Also nun mein neues Hijackthis-log:


Logfile of HijackThis v1.99.0
Scan saved at 00:46:40, on 12.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\DCxxMjpgControl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe

Vielen Dank

JJHoschi

Hi,

C:\System Volume Information\_restore...

Deaktiviere die Systemwiederherstellung.
Fahr Deinen Rechner runter.
Neustart, systemwiederherstellung aktivieren.

Zitat:

O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)

Befolge dies:

http://www.trojaner-board.de/showpos...6&postcount=31

dartus

Hallo Dartus,

vielen Dank, der 2.Teil Deiner "Aufgabe" hat super geklappt, den 1. Teil habe ich nicht verstanden.
Auf was bezieht sich der 1. Teil mit Systemwiederherstellung deaktivieren-
Neustart-Systemwhst. aktivieren.
Ich habe dies auch ausgeführt, konnte aber keine Veränderung feststellen.

Neues Log-File:

Logfile of HijackThis v1.99.0
Scan saved at 09:09:45, on 12.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\DCxxMjpgControl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe

Grüße

JJHoschi

Zitat:

C:\System Volume Information\_restore

Dies ist der Ordner für die Systemwiederherstellung von XP.
Diesen Ordner kann man nicht 'normal' öffnen und einzelne Dateien löschen. Deswegen solltest Du die Systemwiederherstellung einmal deaktivieren und das System neu booten. Dadurch werden die Wiederherstellungspunkte gelöscht und somit auch die dort gefundenen 'schädlichen Dateien'.

Eine ausführliche Anleitung findest Du beispielsweise hier: http://www.tu-berlin.de/www/software/virus/sysres.shtml
oder hier:
http://service1.symantec.com/SUPPORT...30807105707924


Nachtrag:
Diese beiden Einträge solltest Du noch mit HijackThis fixen, da die dazugehörigen Dateien nicht mehr vorhanden sind (file missing):

Zitat:

R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

Danke Lutz,

genau so habe ich dies auch verstanden und durchgeführt.
Was ist mit den 017 er Einträgen bei meinem Log - File
bzw. ist das Log-File jetzt i.O. und "clean" ???

JJHoschi

Die beiden 17er-Einträge sollten zu Deinem Internetprovider gehören und sind OK.
Ich hatte im meinen vorherigen Post noch einen Nachtrag. Ansonsten ist Dein Logfile in meinen Augen clean. Allerdings solltest Du Dich aus Sicherheitsgründen langsam mit dem ServicePack 2 für XP anfreunden.

Hi,

ein letztes Mal wende ich mich nun an Euch, um mich für die hervorragende Zusammenarbeit zu bedanken.
Habe viel hier gelernt und werde auch weiter dieses Board in sehr guter Erinnerung behalten und weiterempfehlen.

Vielen Dank nochmal vor allem an Cacatoa, Christian, Dartus und Lutz für die äußerst sachliche und sehr gute Zusammenarbeit.

Aber auch Dank an alle, die dieses Board zu dem gemacht haben, was es jetzt darstellt. Echte Klasse. :aplaus:

Letztes Log File von Hijack this:

Logfile of HijackThis v1.99.0
Scan saved at 10:59:28, on 12.2.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\DCxxMjpgControl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe


Viele Grüße

JJHoschi

Zitat:

"Das Leben ist bunt und granatenstark; volle Kanne, Hoschi"

@ JJHoschi,
auch von mir kriegst Du jetzt ein "clean"!
Danke an die anderen, konnte nicht weitermachen; bin erst jetzt von der Arbeit heim...
cacatoa