Hi @ all!
Bin ein eigentlich sehr zufriedener Fan von HJT. Allerdings habe ich seit einigen Tagen einen Eintrag in HJT, den ich nicht kenne und dementsprechend gefixt habe. Nur leider erscheint er jedes Mal, wenn ich wieder online gehe (per Modem-Einwahl) abermals im HJT. Fixe ich ihn, während ich online bin, ist manchmal alles i.O., manchmal stellt "das Internet" jedoch auch seinen Dienst komplett ein. Die IP ist irgendein auf irgendeinem Server in der Ukraine (soweit ich das rausfinden konnte), was nichts Gutes hoffen lässt...
Kann mir jemand einen Tipp geben, was das ist und wie ich es loswerde?
Vielen Dank!

Es ist der Eintrag unter 017:
Logfile of HijackThis v1.99.1
Scan saved at 18:24:58, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Anwendungen\ZoneAlarm\zlclient.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Anwendungen\Hijack this\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Anwendungen\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] E:\Anwendungen\ZoneAlarm\zlclient.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Anwendungen\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Anwendungen\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Anwendungen\ICQ\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {406C9427-632E-4451-BE64-53ACA5D4E377} (openbcWebControl.BaseControl) - https://www.openbc.com/sync/openbcWebControl.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{512D4E77-8CAE-4A4D-8987-12925F92D5D8}: NameServer = 85.255.114.77 85.255.112.14
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Meinst du zufällig diesen Eintrag?
O17 - HKLM\System\CCS\Services\Tcpip\..\{512D4E77-8CAE-4A4D-8987-12925F92D5D8}: NameServer = 85.255.114.77 85.255.112.14

Hallo,

poste bitte ein Silent Runners-Log. Poste das Ergebnis eines Scans mit Blacklight.
Scanne dein System mit eScan und poste das Ergebnis.

@JayP: Ja, genau das ist der Eintrag

@Haui45: Hier die beiden Logs, mit dem abgesicherten Modus-Zeugs muss ich mich noch einmal in Ruhe beschäftigen.... vielleicht helfen diese Einträge ja auch schon weiter?

Vielen Dank im Voraus!

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "E:\Anwendungen\ICQ\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"ICQ Lite" = "E:\Anwendungen\ICQ\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"Zone Labs Client" = "E:\Anwendungen\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\WinRar\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\ICQ\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\ICQ\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "E:\Anwendungen\WinRar\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\HS\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "HS" & "All Users" startup folders:
----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Photo Loader resident" -> shortcut to: "C:\Programme\CASIO\Photo Loader\Plauto.exe" ["CASIO COMPUTER CO.,LTD."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}" = "FreshBar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\iecust.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "E:\Anwendungen\ICQ\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor BJC-4300\Driver = "CNMLM12.DLL" ["CANON INC."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 68 seconds, including 19 seconds for message boxes)



Blacklight:
12/01/05 19:34:22 [Info]: BlackLight Engine 1.0.25 initialized
12/01/05 19:34:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/01/05 19:34:22 [Note]: 4019 4
12/01/05 19:34:22 [Note]: 4005 0
12/01/05 19:34:26 [Note]: 4006 0
12/01/05 19:34:26 [Note]: 4011 1236
12/01/05 19:34:27 [Note]: FSRAW library version 1.7.1013
12/01/05 19:36:02 [Note]: 4007 0

Keine Hilfe möglich?

Poste doch erst mal alles, was ich sehen wollte...

Zitat:

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}" = "FreshBar"

Diesen Eintrag kannst du in der Registry (Start-> Ausführen-> regedit ->[Enter]) löschen

Das wird aber dein Problem nicht beheben. Wir hatten schon einmal einen ganz ähnlichen Fall, der damals beim Protecus-Board gelöst wurde (-> Thread)
Darum hoffe ich, wir können uns daran orientieren

Erstelle und poste ein Log mit diesem Programm.
Lade Regsearch herunter und entpacke die enthaltenen Dateien in einen Ordner deiner Wahl. Starte die "regsearch.exe" und kopiere unter "Enter search strings" folgendes hinein:

Zitat:

{512D4E77-8CAE-4A4D-8987-12925F92D5D8}

-> Auf OK klicken und etwas warten-> ein Notepad-Fenster öffnet sich-> Poste den Inhalt.

So, hoffe, habe alles richtig gemacht:

Zunächst "WinPFind"
ARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 24.11.2005 18:13:06 4608 C:\ms32.sys

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Items found in C:\WINDOWS\hosts


Checking %System% folder...
PEC2 18.08.2001 11:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
aspack 03.08.2004 23:57:10 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 03.08.2004 23:57:34 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
PEC2 16.01.2005 01:00:44 12288 C:\WINDOWS\SYSTEM32\tlntadmnx.exe
PECompact2 16.01.2005 01:00:44 12288 C:\WINDOWS\SYSTEM32\tlntadmnx.exe
winsync 18.08.2001 11:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 03.08.2004 21:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
04.12.2005 17:59:40 S 2048 C:\WINDOWS\bootstat.dat
04.12.2005 18:00:08 H 35936 C:\WINDOWS\system32\vsconfig.xml
01.12.2005 17:40:28 H 4212 C:\WINDOWS\system32\zllictbl.dat
04.12.2005 18:00:34 H 1024 C:\WINDOWS\system32\config\default.LOG
04.12.2005 17:59:42 H 1024 C:\WINDOWS\system32\config\SAM.LOG
04.12.2005 18:09:52 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
04.12.2005 18:20:12 H 1024 C:\WINDOWS\system32\config\software.LOG
04.12.2005 18:05:28 H 1024 C:\WINDOWS\system32\config\system.LOG
30.10.2005 18:22:00 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\2731987c-6806-4320-9dd3-f082544bd788
30.10.2005 18:22:00 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
04.12.2005 17:59:44 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 03.08.2004 23:58:24 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 03.08.2004 23:58:24 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 03.08.2004 23:58:24 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 03.08.2004 23:58:24 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 03.08.2004 23:58:24 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 03.08.2004 23:58:24 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 03.08.2004 23:58:24 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 03.08.2004 23:58:24 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 18.08.2001 11:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 03.08.2004 23:58:24 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 11:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 03.08.2004 23:58:24 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 03.08.2004 23:58:24 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 20.03.2003 20:13:00 139264 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 11:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 03.08.2004 23:58:24 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 03.08.2004 23:58:24 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 03.08.2004 23:58:24 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 11:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 03.08.2004 23:58:24 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 03.08.2004 23:58:24 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 03.08.2004 23:58:24 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 18.08.2001 11:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 11:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 11:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 11:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
07.11.2003 21:22:00 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
09.11.2003 20:30:34 1714 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
25.08.2004 17:17:12 766 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Loader resident.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
07.11.2003 21:10:22 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
07.11.2003 21:22:00 HS 84 C:\Dokumente und Einstellungen\HS\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
07.11.2003 21:10:22 HS 62 C:\Dokumente und Einstellungen\HS\Anwendungsdaten\desktop.ini
30.10.2005 12:52:34 18392 C:\Dokumente und Einstellungen\HS\Anwendungsdaten\GDIPFONTCACHEV1.DAT

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = E:\Anwendungen\ICQ\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Anwendungen\WinRar\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Anwendungen\WinRar\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = E:\Anwendungen\ICQ\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Anwendungen\WinRar\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : E:\Anwendungen\ICQ\ICQLite\ICQLite.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{06ABAA2D-34AB-4902-A326-409BD9B9A7A5} = FreshBar : C:\WINDOWS\system32\iecust.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Logitech Utility Logi_MwX.Exe
ICQ Lite E:\Anwendungen\ICQ\ICQLite\ICQLite.exe -minimize
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
Zone Labs Client E:\Anwendungen\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite E:\Anwendungen\ICQ\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 04.12.2005 18:20:17



Nun "Regsearch"
REGEDIT4

; Registry Search by Bobbi Flekman
; Version: 1.0.2.1

; Results at 04.12.2005 18:23:20 for strings:
; '{512d4e77-8cae-4a4d-8987-12925f92d5d8}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp\Parameters]
"{512D4E77-8CAE-4A4D-8987-12925F92D5D8}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces\Tcpip_{512D4E77-8CAE-4A4D-8987-12925F92D5D8}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{512D4E77-8CAE-4A4D-8987-12925F92D5D8}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Dhcp\Parameters]
"{512D4E77-8CAE-4A4D-8987-12925F92D5D8}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\Parameters\Interfaces\Tcpip_{512D4E77-8CAE-4A4D-8987-12925F92D5D8}]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{512D4E77-8CAE-4A4D-8987-12925F92D5D8}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
"{512D4E77-8CAE-4A4D-8987-12925F92D5D8}"=hex:0f,00,00,00,00,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{512D4E77-8CAE-4A4D-8987-12925F92D5D8}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{512D4E77-8CAE-4A4D-8987-12925F92D5D8}]

; End Of The Log...


Verstehen muss ich das nicht mehr, oder?

Na mal schauen, überprüfe die folgenden Dateien bitte auf http://virusscan.jotti.org/de und kopiere das jeweils mehrzeilige Ergebnis in diesen Thread.

Zitat:

C:\ms32.sys
C:\WINDOWS\SYSTEM32\tlntadmnx.exe
C:\WINDOWS\system32\vsconfig.xml

sieht bis auf das letzte nicht so gut aus...



I
Auslastung: 0% 100%

Datei: ms32.sys
Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Downloader.Small.CN gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


II
Auslastung: 0% 100%

Datei: tlntadmnx.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Click.208 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Small.dg gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden



III
Auslastung: 0% 100%

Datei: vsconfig.xml_
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Bitte überprüfe wirklich die Datei C:\WINDOWS\system32\vsconfig.xml (ohne "_")
Kopiere dazu den Pfad in das weiße Kästchen bei jotti und klicke auf "Abschicken"

Poste diese vier Logs in diesem Thread --> http://www.virus-protect.net/datfindbat.html

(Ich weiß, es ist einiges, aber "deine" Schädlinge scheinen relativ hartnäckig zu sein...)

Kein Problem, ich danke DIR!

So, noch einmal die letzte von "Jotti Malwarescan", diesmal mit kompletten Pfad reinkopiert. Habe ich letztes Mal mit den anderen Datein auch gemacht...

Auslastung: 0% 100%

Datei: vsconfig.xml_
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


Und hier das neue Programm "datfindbat"


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCBA-71D6

Verzeichnis von C:\WINDOWS\system32

04.12.2005 18:00 35.936 vsconfig.xml
04.12.2005 17:59 2.206 wpa.dbl
01.12.2005 17:40 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
09.11.2005 21:06 115.768 FNTCACHE.DAT
31.10.2005 21:09 311.740 perfh009.dat
31.10.2005 21:09 40.128 perfc009.dat
31.10.2005 21:09 316.924 perfh007.dat
31.10.2005 21:09 48.354 perfc007.dat
31.10.2005 21:09 723.744 PerfStringBackup.INI
14.06.2005 12:58 54.272 pxinsa64.exe
14.06.2005 12:58 28.672 vxblock.dll
14.06.2005 12:58 339.968 pxwave.dll
14.06.2005 12:58 1.093.632 pxsfs.dll
14.06.2005 12:58 155.648 pxmas.dll
14.06.2005 12:58 104.960 pxinsi64.exe
14.06.2005 12:58 57.344 pxhpinst.exe
14.06.2005 12:58 397.312 pxdrv.dll
14.06.2005 12:58 108.544 pxcpyi64.exe
14.06.2005 12:58 56.832 pxcpya64.exe
14.06.2005 12:58 360.448 px.dll
03.05.2005 20:55 152.848 COMDLG32.OCX





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCBA-71D6

Verzeichnis von C:\DOKUME~1\HS\LOKALE~1\Temp

02.12.2005 17:10 16.384 ~DF9E16.tmp
02.12.2005 17:10 16.384 ~DF91BC.tmp
28.11.2005 18:57 512 ~DFF612.tmp
28.11.2005 18:34 512 ~DF8B68.tmp
28.11.2005 18:34 512 ~DF8B89.tmp
28.11.2005 18:25 512 ~DF5901.tmp
28.11.2005 18:16 512 ~DF11BB.tmp
19.11.2005 17:46 0 h2r5.tmp
19.11.2005 17:46 7.845 r2h4.tmp
19.10.2005 15:48 45.096 _VWUPSRV.EXE
18.10.2005 16:59 16.384 ~DF4EC7.tmp
18.10.2005 16:59 16.384 ~DF3E5C.tmp
06.10.2005 18:06 16.384 ~DF4093.tmp
06.10.2005 18:06 16.384 ~DF35C0.tmp
05.10.2005 18:43 16.384 ~DF45B6.tmp
05.10.2005 18:43 16.384 ~DF2DC5.tmp
30.09.2005 13:53 16.384 ~DF2B26.tmp
30.09.2005 13:53 16.384 ~DF9F9.tmp
29.09.2005 13:29 16.384 ~DF43D1.tmp
29.09.2005 13:29 16.384 ~DF3A9B.tmp
25.09.2005 20:31 3.660 h2r8.tmp
24.08.2005 17:13 16.384 ~DF9EDE.tmp
24.08.2005 17:13 16.384 ~DF92CF.tmp
21.08.2005 11:52 16.384 ~DFC774.tmp
21.08.2005 11:51 16.384 ~DFBC92.tmp
09.08.2005 12:56 16.384 ~DF435C.tmp
07.08.2005 14:22 16.384 ~DF4438.tmp
05.08.2005 10:25 16.384 ~DF43F8.tmp
31.07.2005 13:57 16.384 ~DF5BD6.tmp
24.07.2005 19:25 16.384 ~DF4A9C.tmp
21.07.2005 13:07 16.384 ~DF453E.tmp
08.07.2005 20:54 16.384 ~DF41CD.tmp
08.07.2005 20:15 16.384 ~DFB5A5.tmp
08.07.2005 20:10 133.632 25fae6.mst
08.07.2005 20:10 133.632 27a232.mst
07.07.2005 12:54 32.847 ICQRT.dll




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCBA-71D6

Verzeichnis von C:\WINDOWS

04.12.2005 19:23 11.110 ModemLog_SmartUSB56 Voice Modem.txt
04.12.2005 18:00 0 0.log
04.12.2005 17:59 2.048 bootstat.dat
03.12.2005 10:21 32.622 SchedLgU.Txt
03.12.2005 10:21 142.887 WindowsUpdate.log
22.11.2005 09:24 177.974 setupact.log
19.11.2005 12:50 701.848 setupapi.log
09.11.2005 18:11 121.078 iis6.log
09.11.2005 18:11 31.427 comsetup.log
09.11.2005 18:11 19.178 ntdtcsetup.log
09.11.2005 18:11 1.917 imsins.log
09.11.2005 18:11 37.782 tsoc.log
09.11.2005 18:11 3.911 ocmsn.log
09.11.2005 18:11 2.333 tabletoc.log
09.11.2005 18:11 50.484 ocgen.log
09.11.2005 18:11 9.416 netfxocm.log
09.11.2005 18:11 5.892 medctroc.Log
09.11.2005 18:11 3.740 msgsocm.log
09.11.2005 18:11 55.305 FaxSetup.log
09.11.2005 18:11 28.846 msmqinst.log
20.10.2005 17:07 33.023 wmsetup.log
13.09.2005 20:17 50 wiaservc.log
13.09.2005 20:17 215 wiadebug.log
18.07.2005 14:44 1.811 INSTALL.LOG
18.07.2005 14:44 316.640 WMSysPr9.prx
09.07.2005 17:59 574 cdPlayer.ini
04.06.2005 18:42 320 retrieve.ini
16.01.2005 13:13 106.880 ntbtlog.txt
16.01.2005 01:00 6.400 balloon.wav
29.12.2004 21:50 628 hosts
29.12.2004 21:17 0 test
29.12.2004 21:16 0 toolbar.exe
24.11.2004 19:54 3.058 ACROREAD.INI
01.11.2004 22:07 14.488 ModemLog_Acer Modem 56 Surf.txt
04.09.2004 16:30 1.891 imsins.BAK
03.09.2004 17:02 29.250 spupdsvc.log
03.09.2004 17:01 360 DtcInstall.log
03.09.2004 17:00 1.510 OEWABLog.txt
03.09.2004 16:59 740.233 setuplog.txt
03.09.2004 16:56 605.161 svcpack.log
03.09.2004 16:28 200 cmsetacl.log
03.09.2004 16:27 772 win.ini
03.09.2004 16:26 1.330 sessmgr.setup.log
25.08.2004 17:17 218 Directx.log
03.08.2004 23:58 288.768 winhlp32.exe
03.08.2004 23:58 32.866 slrundll.exe
03.08.2004 23:58 153.600 regedit.exe
03.08.2004 23:58 70.144 notepad.exe
03.08.2004 23:57 10.752 hh.exe
03.08.2004 23:57 1.035.264 explorer.exe
03.08.2004 23:57 50.688 twain_32.dll
28.07.2004 23:29 6.038 switchagreement.txt
28.07.2004 23:29 1 twain_.bin
28.07.2004 23:29 136 KB813744.log
17.07.2004 10:40 19.528 002308_.tmp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: CCBA-71D6

Verzeichnis von C:\

04.12.2005 19:27 0 sys.txt
04.12.2005 19:26 5.996 system.txt
04.12.2005 19:25 9.564 systemtemp.txt
04.12.2005 19:23 100.678 system32.txt
04.12.2005 17:59 536.399.872 hiberfil.sys
04.12.2005 17:59 805.306.368 pagefile.sys
24.11.2005 18:13 4.608 ms32.sys
03.09.2004 16:28 211 boot.ini
03.09.2004 16:12 47.564 NTDETECT.COM
03.09.2004 16:12 251.184 ntldr
14.08.2004 11:02 2.237 INSTALL.LOG
04.05.2004 12:57 2.715.928 WindowsXP-KB835732-x86-DEU.EXE
09.11.2003 20:10 109 AUTOEXEC.BAT
07.11.2003 21:21 0 MSDOS.SYS
07.11.2003 21:21 0 CONFIG.SYS
07.11.2003 21:21 0 IO.SYS
18.08.2001 11:00 4.952 bootfont.bin
24.05.2001 11:59 162.304 UNWISE.EXE
18 Datei(en) 1.345.011.575 Bytes
0 Verzeichnis(se), 12.390.653.952 Bytes frei

Ich bin wirklich am überlegen, was wir jetzt machen. Ich persönlich würde das System neu aufsetzen...

Ansonsten kann du folgendes machen (ohne Gewähr):
Lösche die folgenden Dateien mit Killbox (den Downloadlink und eine Anleitung findest du hier ziemlich weit unten)

Zitat:

C:\ms32.sys
C:\WINDOWS\SYSTEM32\tlntadmnx.exe

Lösche alle temporären Datein mit ClearProg.

Lade die angehängte Datei herunter und benenne sie in Fix.reg um. Führe sie im abgesicherten Modus aus (Warnmeldung mit "Ja" bestätigen). Dadurch sollte deine Internet-Verbindung gelöscht werden, du muss nach dem Neustart also eine neu erstellen. Ich habe diese Vorgehensweise im oben verlinkten Thread gefunden und übernehme keinerlei Garantie dafür (dein Risiko bei deiner Infektion)!
Suche außerdem in der Registry (Start-ausführen-> regedit -> [Enter]) nach "rasphone.pbk"
Findest du einen solchen Eintrag?

Zitat:

Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk

IpDnsAddress = 85.255.114.77
IpDns2Address = 85.255.112.14
IpNameAssign = 2

Wenn du es findest, lösche
IpDnsAddress = 85.255.114.77
IpDns2Address = 85.255.112.14
(auch aus dem Protecus-Board übernommen!)


Wenn alles gut geht, poste bitte ein neues HijackThis-Log und die eScan-Ergebnisse, die immer noch ausstehen...

So zum letzten für heute.

3 Dinge habe ich "erfahren":

1. Habe einmal einen gänzlich anderen Call-by-Call-Anbieter benutzt und siehe da, die IP-Adressen in diesem ominösen HJT-Eintrag sind ganz andere. Mit Bezug aus dem protectus-board thread (hanshansen) gehe ich nun, davon aus, dass der Server meines normalen Call-by-Call-Anbieters wirklich in der Ukraine sitzt und das dann wohl i.O. ist (hoffen wir´s).

2. Ein Neuaufsetzten meines Systems scheint nicht verkehrt.

3. muss mich dringend mal mit den Begebenheiten von abgesichterten Modi etc auseinandersetzten. Weihnachten naht ja zum Glück

Haui45: Vielen Dank für deine Hilfe bis hierhin, klasse!

Sorry hab mich verlesen