Huhu Leute!

hab mir da glaub ich mal wieder was eingefangen. Könnt ihr mir helfen?

Logfile of HijackThis v1.99.1
Scan saved at 13:32:03, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Trillian\trillian.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Laura\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140172275089
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

danke schonmal =)

zu dem eintrag :C:\WINDOWS\system32\atmclk.exe und C:\WINDOWS\system32\dcomcfg.exe
hab ich folgendes im netz gefunden:
"
Ein äußerst nerviges und hartnäckiges Spyware-Trojan-Programm welches sich im system32-ordner einnistet.. Am besten den BHO im HijackThis entfernen und im Abgesicherten Modus die beiden dateien (dcomfg.exe und atmclk.exe) löschen. Weiß aber nicht, ob dass alles ist -
"

vielleicht hilft es dir ja

Zitat:

Zitat von Princ_of_Galaxy

zu dem eintrag :C:\WINDOWS\system32\atmclk.exe und C:\WINDOWS\system32\dcomcfg.exe
hab ich folgendes im netz gefunden:
"
Ein äußerst nerviges und hartnäckiges Spyware-Trojan-Programm welches sich im system32-ordner einnistet.. Am besten den BHO im HijackThis entfernen und im Abgesicherten Modus die beiden dateien (dcomfg.exe und atmclk.exe) löschen. Weiß aber nicht, ob dass alles ist -
"

vielleicht hilft es dir ja

Schwachsinn, das wird nicht klappen.

@Nienna1988

Mit der Registrierung hast du auch die NUB durchgelesen und diese akzeptiert. So wäre es deine Aufgabe gewesen hier im Forum erstmal eine Suche anzugehen, evtl. auch mit Google.

Erstes Ergebnis zu deinem Problem:

Klick mich und befolg mich 1:1

mfg,
Markus

Sry daran hab ich gar nicht gedacht..

Also hab das jetzt genau so gemacht wie in dem anderen Thread beschrieben.

Hier sind die Auswertungen:

Rapport:

Zitat:

SmitFraudFix v2.53

Scan done at 13:31:35,03, 03.06.2006
Run from C:\Dokumente und Einstellungen\Laura\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}"="alongshore"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

und RootKitRevealer:

Zitat:

C:\Programme\Mozilla Firefox\updates\0\update.mar 03.06.2006 13:52 384.00 KB Hidden from Windows API.
C:\Programme\Mozilla Firefox\updates\0\update.status 03.06.2006 13:47 12 bytes Hidden from Windows API.
C:\System Volume Information\_restore{A313C4D3-3AAB-4C1A-9752-59F92464B7DA}\RP78\A0024049.mfl 01.06.2006 15:16 1.42 MB Hidden from Windows API.

Hab ich das jetzt so richtig gemacht?

Hallo,
ja, hast alles richtuig gemacht. Gibt es noch Probleme? Popups? Symbole in der Infoleiste (rechts unten)?
Lösche mal noch die Datei C:\WINDOWS\SYSTEM32\winzzd32.dll mit killbox mit der Option "delete on reboot".
Außerdem machst du mal noch einen Onlinescan bei Panda(mit dem IE) und postest den Report.


Grüße Wildone

Also Panda brachte mir noch folgendes:

Zitat:

Ereignis Zustand Standort
Adware:adware/securityerror Nicht desinfiziert C:\Dokumente und Einstellungen\Laura\Favoriten\Antivirus Test Online.url

Potenziell unerwünschtes Tool:application/winantivirus2006 Nicht desinfiziert c:\dokumente und einstellungen\all users\anwendungsdaten\WinAntiVirus Pro 2006


Adware:adware/yazzlesudoku Nicht desinfiziert c:\programme\Yazzle Sudoku

Adware:adware/savenow Nicht desinfiziert Windows-Registry

Adware:adware/whenusearch Nicht desinfiziert Windows-Registry

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Anwendungsdaten\Mozilla\Firefox\Profiles\boi1qwc0.default\cookies.txt[as1.falkag.de/]

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@as1.falkag[1].txt

Spyware:Cookie/Ccbill Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@ccbill[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@counter6.sextracker[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@counter8.sextracker[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@counter9.sextracker[1].txt

Spyware:Cookie/cs.sexcounter Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@cs.sexcounter[2].txt

Spyware:Cookie/GoStats Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@gostats[2].txt

Spyware:Cookie/MediaTickets Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@kinghost[1].txt

Spyware:Cookie/SexList Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@sexlist[1].txt

Spyware:Cookie/Sextracker Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@sextracker[2].txt

Spyware:Cookie/XXXCounter Nicht desinfiziert C:\Dokumente und Einstellungen\Herrmann\Cookies\herrmann@xxxcounter[1].txt

Spyware:Cookie/2o7 Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@2o7[2].txt

Spyware:Cookie/Advertising Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@advertising[1].txt

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@as-eu.falkag[2].txt

Spyware:Cookie/Falkag Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@as1.falkag[1].txt

Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@atdmt[2].txt

Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@doubleclick[2].txt

Spyware:Cookie/fe.lea.lycos Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@fe.lea.lycos[1].txt

Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@hitbox[2].txt

Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@mediaplex[1].txt

Spyware:Cookie/Serving-sys Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@serving-sys[2].txt

Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@statse.webtrendslive[1].txt

Spyware:Cookie/Tradedoubler Nicht desinfiziert C:\Dokumente und Einstellungen\Karin\Cookies\karin@tradedoubler[2].txt