ich hab das problem das mir antivir guard andauernd die selben warnlieferungen meldet. immer kammt sowas wie
winzzd32.dll (TR/Dldr.Small.cml.7)
wdinit64(1).exe, win14B.tmp , win 4BF.tmp (alle sind TR/Drop.Agent.ajc.1) und mein temp ordner is jeden tag wieder mit leeren files mit namen wie win14B.tmp und mit anderen nummern und anderen zahlen zugemüllt , es waren heute beim leeren fast 1000 datein jede 0kb , was machen diese trojaner , viren , oder was auch immer das ist schlimmes ich hatte nie probleme und manchma krieg ich auch noch so ne meldung auf italenisch von nem dialer , das is mir egal da ich eh nicht über telefon einwähle sonder breitband hab
ich sitze hinter ner router firewall , windows firewall , benutze antivir guard und spybot search and destroy, windows defender seid neuestem zone alarm pro , und spyware doctor
was tun die trojaner , und wie krieg ich sie weg ?
hier noch mein logfile , falls man da was braucht ,

Logfile of HijackThis v1.99.1
Scan saved at 19:24:52, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Dokumente und Einstellungen\Markus\Desktop\weiteres\alcohol software\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Vivanco\Laser Mouse\Panel.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Dokumente und Einstellungen\Inge\Eigene Dateien\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\locator.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Inge\Desktop\weiteres\hijackhis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Dokumente und Einstellungen\***\Eigene Dateien\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: WikiSearch - {44E7EF6C-6F5C-4AAF-A080-7725A27878ED} - C:\PROGRA~1\WIKISE~1\WIKIPE~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Vivanco Laser mouse] "C:\Programme\Vivanco\Laser Mouse\Panel.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Dokumente und Einstellungen\****\Desktop\weiteres\alcohol software\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Dokumente und Einstellungen\***\Eigene Dateien\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Find on Wikipedia... - C:\PROGRA~1\WIKISE~1\cm.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: LEO Englisch <-> Deutsch - C:\Programme\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - C:\Programme\LEO-Ext-for-IE\DE_FR.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DOKUME~1\***\Desktop\weiteres\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097418447593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRpc.exe (file missing)
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRT.exe (file missing)
O23 - Service: eTrust Antivirus Job Server (InoTask) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoTask.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Dokumente und Einstellungen\***\Desktop\weiteres\alcohol software\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

weiters ist mir heute im task manager aufgefallen das ich manchma wenn n spiel rennt 1000 mb oder mehr zugesichterten speicher haben , obwohl ich nur 512 ram habe , wie geht das ?
außerdem hab ich sogar jetz 700 auslastung trotz 512 ram
sagt mir ma bitte was ich alles entfernen kann und was ich gegen meine trojaner tun kan
übrigends : falls ich irgendwas falsch gemacht habe nicht aufregen bin neu hier und das is mein erster post
danke fürs lesen und für hilfe falls mir wer hilft , schon ma im voraus

Hallo,

Du hast für meinen Geschmack ein ziemlich überfrachtetest System.
Deinstalliere über Systemsteuerung / Software den Messenger Plus und Flash Get, wenn es die Freeware Version ist, denn beide beinhalten Spy/Adware.

Scanne die Datei C:\WINDOWS\SYSTEM32\winzzd32.dll online bei Virustotal, poste das Ergbnis hier.

Bei Infizierung mittels Killbox (Option: delete on Reboot) löschen.

Deinstalliere eine der beiden AV Programme, das kann auch zu Fehlern führen, viel hilft hier nicht viel. Auch Spybot und Spyware Doctor müssen nicht beide laufen, lass Spyware Doctor deinstallieren und deaktivere im SpyBot den TeaTimer.

Zitat:

...1000 mb oder mehr zugesichterten speicher haben , obwohl ich nur 512 ram habe , wie geht das ?

das funktioniert mit virtuellem Speicher, den Dein OS auf der Festplatte ablegt / nutzt. 1 GB bei "nur" 512 installed Memory können vorkommen.

Prüfe auch, ob Du die ganzen Toolbars wirklich benutzt: ICQ, Encarta Search, Wiki Search, Leo D-E, E-D etc etc.

Lade Die nach den Deinstallationen Regseeker

Poste dannach noch mal ein HJT Logfile.

Gruß

Schrulli

ok erstma danke für die antwort , aber :
messenger plus gefällt mir , gibts da nicht ne methode das es keine spyware-funktion hat , und wo ist bei messenger plus adware funktion ?

flashget find ich irgendwie nicht in der software liste

welches der beiden ? antivir oder windows defender

spyware doctor deinstallieren ??? der hat beim ersten scan , wie ich ihn geladen habe 420 sachen gefunden und ich hab jetzt ne methode gefunden , ihn zu registrieren , da würd ich glaub ich eher auf spybot verzichten , denn das einzige was der macht is , das er mir die system-start entrys anzeigt , und spyware blockt der doc auch sicher gut

wie stellt man den teatimer ab ?

"nur" 512 ram ich kauf mir das wochenende eh noch 1 gb extra , das werd ich eh zum spielen brauchen

toolbars bis auf google und gmx weg , selbst wenn ich ie nur noch selten benutze , aber gmx is einsame spitze

virus total ergebnis :

Antivirus Version Update Result
AntiVir 6.34.0.14 04.01.2006 TR/Dldr.Small.cml.7
Avast 4.6.695.0 04.01.2006 no virus found
AVG 386 03.31.2006 Downloader.Generic.VNE
Avira 6.34.0.54 04.01.2006 TR/Dldr.Small.cml.7
BitDefender 7.2 04.01.2006 Trojan.Downloader.Small.SI
CAT-QuickHeal 8.00 03.31.2006 no virus found
ClamAV devel-20060202 03.30.2006 no virus found
DrWeb 4.33 04.01.2006 no virus found
eTrust-InoculateIT 23.71.117 04.01.2006 no virus found
eTrust-Vet 12.4.2145 03.31.2006 Win32/SillyDl.AGG
Ewido 3.5 03.31.2006 Downloader.Small.cml
Fortinet 2.71.0.0 04.01.2006 W32/BDoor.CML!dldr
F-Prot 3.16c 03.30.2006 no virus found
Ikarus 0.2.59.0 04.01.2006 Trojan-Downloader.Win32.Small.CML
Kaspersky 4.0.2.24 04.01.2006 Trojan-Downloader.Win32.Small.cml
McAfee 4731 03.31.2006 BackDoor-CVT
NOD32v2 1.1466 03.31.2006 Win32/TrojanDownloader.Small.CML
Norman 5.70.10 03.31.2006 W32/DLoader.UAG
Panda 9.0.0.4 03.31.2006 Adware/DollarRevenue
Sophos 4.04.0 04.01.2006 no virus found
Symantec 8.0 04.01.2006 Download.Trojan
TheHacker 5.9.7.123 04.01.2006 Trojan/Downloader.Small.cml
UNA 1.83 03.30.2006 TrojanDownloader.Win32.Small
VBA32 3.10.5 03.31.2006 Trojan-Downloader.Win32.Small.cml

neulich hab ich im taskmanaer auch schon solche win/ddl***.tmp.exe (***=zahl von 100-1000) files mitlaufen , mit 4mb oder mehr auslastung, wie krieg ich den schrott weg ?

soll ich ma meine ganzen anderen gefährlichen sachen auch ma durch antivir total durchlaufen lassen ?

weiters habe ich auf meinem pc DC1968.exe , DC2030.exe und mit ner anderen zahl auch noch gefunden , sowie eine vmubin2[1].exe oder so ähnlich

was soll ich bei reg seeker tun ? meine startup entrys sind alle ok ich hab ma clean up registry

hjack this im nächsten post da der hier sonst über 25k zeichen geht

Logfile of HijackThis v1.99.1
Scan saved at 10:41:45, on 01.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Dokumente und Einstellungen\***\Desktop\weiteres\alcohol software\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Vivanco\Laser Mouse\Panel.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\locator.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Dokumente und Einstellungen\***\Desktop\weiteres\RegSeeker\RegSeeker.exe
C:\Dokumente und Einstellungen\***\Desktop\weiteres\hijackhis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Vivanco Laser mouse] "C:\Programme\Vivanco\Laser Mouse\Panel.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Dokumente und Einstellungen\Markus\Desktop\weiteres\alcohol software\Alcohol 120\Alcohol.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Dokumente und Einstellungen\***\Eigene Dateien\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Dokumente und Einstellungen\***\Desktop\handy\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DOKUME~1\***\Desktop\weiteres\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097418447593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRpc.exe (file missing)
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRT.exe (file missing)
O23 - Service: eTrust Antivirus Job Server (InoTask) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoTask.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Dokumente und Einstellungen\***\Desktop\weiteres\alcohol software\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

reg seeker hat 1496 einträge gefunden was tun mit denen ? (unter registrationen säubern)

kleine fehler wegeditiert

Hallo,

das mit der befallenen Datei dachte ich mir schon, gar nicht gut, ist dieser hier.

Kann Dir nur Raten Deinen Rechner neu aufzusetzen. Der Virus gestattet Dritten Zugriff auf Dein System.

Zu Deinen Fragen:
Alternative Messenger sind z.B. Trillian oder Jabber. Benutze diese, sind kostenlos und ohne Ad/Spyware. Meines wissens bekommst Du den Messenger Plus nicht entbundelt.

Ob nun Antivir oder Defender ist Geschackssache, kenne das andere Programm und dessen "Erfolgschancen" aber nicht.
Ob nun SpyDoctor gut ist, musst auch Du wieder beurteilen, meinem Geschmack nach, bringt es zu viele false positives. Spybot allerdings bringt allgemein zu wenig, stimmt schon, Dilemma
Tea Timer wie folgt abschalten: Modus / erweitereter Modus / Werkzeuge / Redident / Resident "Tea Timer" abhaken. Neustarten.

Grade im Kontext mit den schon von Dir gelöschten Dateien, solltest Du diesen Rechner wirklich neu installieren, beachte dabei die in meiner Signatur verlinkte Anleitung dazu.

Gruß

Schrulli

soll ich mir jetz sophos laden um den virus weg zu kriegen ?

ich kenn trillian schon nur mir gefällts nich , messenger plus hat um einiges mehr an funktionen

rechner neu aufsetzen : nein danke , ich hab den seid ca 2 jahren und ich hab da schon tonnenweise daten , die ich immer wieder ma brauche , also wenns irgendwie geht alternativlösung , denn , ich will ihn nicht neu formatieren is mir eindeutig zu viel arbeit

dann nehm ich besser antivir , windows defender hat mich bis jetz kaum gewarnt , antivir dafür andauernd
zu spyware doc : besser zu viel als zu wenig ^^ , kann man nicht beide spyware progs laufen haben ?

also vieleicht eine altanativlösung zum neu aufsetzen wär ganz gut , da ich schon soviel hab was ich nicht alles neu installieren will

spyware is mir eher egal da ich eh nix besonderes am pc mache , also kein ebanking oder sowas , und ich glaub kaum das hacker auf game-passwörter scharf sind ^^

könnten wir uns vllt über msn , icq oder yahoo! unterhalten ?
email : *****l@*****:at

Alternativ Lösung ?

Wähle auf deinem Telefon 110 , erzähle "freiwliig" das Du E-mail bomber erstellst, täglich DDos Angriffe auf diverse Großrechenzentren durchführst, Kinderpornos übers Netz verbreitest um somit dein Geld zu verdienen!!

Mein Gott, bist du NAIV !

Tu was du willst, aber erschrecke nich wenn eines Tages Polizei, Staatsschutz oder ein SEK an deiner Tür klingelt ..

EDIT:

MOIN SCHRULLI ...

Hallo,

Sunny hat es etwas überzeichnet, aber in sich richtig dargestellt, andere können Deinen Rechner nutzen, so wie Du ihn nutzt.

Zitat:

Zitat von Sophos

Troj/BckDr-DKG kontaktiert eine vorkonfigurierte Website, von der er eine Liste mit Befehlen herunterlädt.
Troj/BckDr-DKG kann außerdem andere Anwendungen herunterladen und installieren.

Soll heißen, es liegt im Nebel, was DU mittlerweile auf dem Rechner hast, das kann alles sein, daher kann man es auch nicht mit aller Gewissheit entfernen.

Suche Dir eine Möglichkeit ein Backup zu machen!

[edit]Hi Sunny [/edit]

Gruß

Schrulli

@sunny : drogen , hyperaktiv , extrem schlecht gelaunt, doch einfach nur besorgt um die sicherheit meines pc's und der restlichen welt oder was ? beruhig dich besser ma soviel stress ist wirklich nicht gesund , die welt wird schon nicht untergehen
warum bin ich schuld wenn ich gehackt werde / trojaner kriege , das is wie wenn du über den zebrastreifen gehst und ein auto ausweicht und gegen eine mauer fährt , da kannst du auch nix dafür (und falls du was sagst , ja das ist ein saudummer vergleich na und)
ps: 110 gibts in österreich nicht das is bei uns 133 glaub ich
@schrulli :
wie gesagt ich will meinen pc nicht neu aufsetzen , der wird erst dann wieder neu aufgesetzt wenn es garkeine andere möglichkeit gibt !

Hallo,

deaktiviere die Systemwiederherstellung.
Wechsele in den abgesicherten Modus ( beim booten F8 drücken, auch gerne mehrmals ) dann versuche mittels Killbox die Datei C:\WINDOWS\SYSTEM32\winzzd32.dll zu löschen.
Fixe dann mittels HJT den folgenden Eintrag:

O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
Lade Dir dannach Cleanup
Dann Regseeker "Clean the registry", wähle nach beenden alle grünen Einträge aus und lösche diese, achte dabei darauf, das der Haken bei "Backup before deletion" gesetzt ist.
Jetzt führe einen OnlineScan, z.B. hier durch.

Alles viel Arbeit, für ein System, das neu aufgestzt gehört, wenn da noch zu viel nachkommt macht es wirklich keinen Sinn mehr, warten wir mal ab, was der OnlineScan ergibt.

Gruß

Schrulli

ok ich werds ma versuchen , zur zeit geht mein intenet nicht (betreiber hat was hat nix mit virus zu tun is öfter so) , ich schrieb gerade von dem pc eine freundes , aber ich werds ma versuchen , bis jetz hab ich ma gelöscht (ohne killbox nur mit rechtsklick-eintfernen und dann ausm müll auch noch weg) , den rest mach ich wenn ich wieder internet hab ...
zitat: Alles viel Arbeit, für ein System, das neu aufgestzt gehört ......
neu aufsetzen is aber mehr arbeit , und jetz wenn der pc keine inet-verbindung hat tut der trojaner garnichts , hab ihm ma gelöscht , und er müllt auch meinen temp nicht mehr zu (alles an müll gelöscht)
danke schrulli mal für deine hilfe , (gut das du nicht so stur bist und nur sagst das ich ihn neu aufsetzen soll , sondern auch akzeptierst , das ich das nich will)
wenn der pc keine richtige internet verbindung hat tun die trojaner garnix , das is ma gut
übrigens: der winzzd32.dll war im abesichterten modus auf einmal ein winzzd32.dll.vir file ...... komisch oder ?
mfg meld mich wenn mein internet endlich wieder geht (problem ist das ich zwar gateway und ip connecten kann aber keinen host connecten kann also ping ip und ping gateway geht nur ping www.google.at geht zum beispiel nicht
vieleicht setz ich ihn wirklich neu auf , aber gleich ma ne frage , was mir irgendwie wichtig is : so sind die msn-messenger-smielies gespeichert ?

Hallo,

MSN Lächler:
Laufwerksbuchstabe:\Dokumente und Einstellungen\BENUTZERNAME\Anwendungsdaten\Microsoft\MSN Messenger\MSN NUMMER\CustomEmoticons

Gruß

Schrulli

zu der sache messenger plus http://www.chip.de/downloads/c1_downloads_13006720.html wer zu faul zum klicken ist Achtung: Messenger Plus! enthält Spyware-Komponenten, die bei der Installation aber deaktiviert werden können. http://www.zdnet.de/downloads/prg/9/3/de10059893-wc.html bzw hier : folge : entweder ad-oder spyware , was stört mich adware ?

Hallo,

Zitat:

Zitat von markus_v

was stört mich adware ?

wenn Dich Werbefenster nicht stören

Gruß

Schrulli

naja , wenn sie nicht am systemstart kommen , und popups hatte ich bis jetz keine