hallo, ich bin echt verzweifelt ich habe schon vieles versucht, doch f-secure, spybot und ad-aware scheinen nicht gegen die viren/trojaner anzukommen... die sache an der ich merkte das etwas nicht stimmt war die das ich (inet DSL6000) immer eine internetverbindung von 200-600 kbit\s habe und nicht weiss woher das kommt wenn ich alle onlineprogramme bzw. alle mir bewussten onlineprozesse beendet habe. kann mir bitte jemand bei dem logfile helfen oder allgemeine tips geben? dankeschön schon mal im vorraus!


hier das logfile:
-------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 15:42:58, on 09.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
D:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
D:\Programme\KEN!\KENCLI.EXE
D:\Programme\F-Secure\Anti-Virus\fssm32.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\KEN!\kentbcli.exe
D:\WINDOWS\Mixer.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\F-Secure\Common\FSM32.EXE
D:\Programme\DAEMON Tools\daemon.exe
D:\Programme\NetPumper\NetPumperIEProxy.exe
D:\Programme\Gemeinsame Dateien\{A8F0DE23-0874-1031-0521-030428030031}\Update.exe
D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
D:\Programme\Steam\Steam.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\F-Secure\Common\FSMA32.EXE
D:\Programme\F-Secure\Common\FSMB32.EXE
D:\Programme\F-Secure\Common\FCH32.EXE
D:\Programme\F-Secure\Common\FAMEH32.EXE
D:\Programme\F-Secure\Common\FNRB32.EXE
D:\Programme\F-Secure\Common\FIH32.EXE
D:\Programme\F-Secure\Anti-Virus\fsav32.exe
D:\Dokumente und Einstellungen\**********\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.100.1:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\Programme\WinJam\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.100.1:3128;https=192.168.100.1:3128;ftp=192.168.100.1:3128;socks=192.168.100.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "D:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NetPumper] "D:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [jumpcoalwarnsoap] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\messbluejumpcoal\ThisName.exe
O4 - HKLM\..\Run: [DXDllRegExe] D:\WINDOWS\System32\dxdllreg.exe
O4 - HKCU\..\Run: [AWMON] "D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [trustmode] D:\DOKUME~1\*******\ANWEND~1\CLOCKF~1\time sign.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - ht*p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - ht*p://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D376D0E-ADD8-419C-BECE-434B7BB1CD50}: NameServer = 192.168.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{96390768-8546-4BD7-A934-4E40E100628E}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{163E42FD-D698-4DF8-AC99-BB689421FCAB}: NameServer = 192.168.100.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - D:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - D:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - D:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

Hallo,

zuerst lies bitte hier, was ein Service Pack ist. Dein XP hat ein solches bisher nie gesehen, daher kann man Dir nur den Rat geben das System nach dieser Anleitung neu aufzusetzen.

Gruß

Schrulli

Hallo,
poste mal bitte ein Log von Silentrunners.


Grüße Wildone

zu schrulli: habe mir die winxp professional draufgehauen weil mir das anrufen wegen dem key für die homeedition zu stressig war, falls sich das problem nicht lösen lässt werde ich auf jeden fall die home edition benutzen!


Silentrunners log kommt noch vollständig

Hallo,

Zitat:

zu schrulli: habe mir die winxp professional draufgehauen weil mir das anrufen wegen dem key für die homeedition zu stressig war

*hust* Auch die legalen Versionen von XP Pro muss man aktivieren. Also nimm einfach eine legale Version wenn du eine hast, und wenn nicht kauf dir eine.

Das Silentrunners Log scheint mir nicht vollständig zu sein, aber das was ich sehen wollte ist wohl drauf, poste aber trotzdem mal den Rest.

1.) Arbeite mal das hier ab, die relevanten Einträge sind:
O4 - HKLM\..\Run: [jumpcoalwarnsoap] D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\messbluejumpcoal\ThisName.exe
O4 - HKCU\..\Run: [trustmode] D:\DOKUME~1\*******\ANWEND~1\CLOCKF~1\time sign.exe

und poste danach ein neues HijackThis Log. Wie sieht es danach mit dem Traffic aus?

2.) Beende den Prozess Update.exe, prüfe die zugehörige Datei ( D:\Programme\Gemeinsame Dateien\{A8F0DE23-0874-1031-0521-030428030031}\Update.exe) hier und poste das Ergebnis.


Grüße Wildone

so hier der vollständige log von silentrunners


"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"{A8F0DE23-0874-1031-0521-030428030031}" = ""D:\Programme\Gemeinsame Dateien\{A8F0DE23-0874-1031-0521-030428030031}\Update.exe" mc-110-12-0000272" [null data]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AWMON" = ""D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"" ["Lavasoft Sweden"]
"Steam" = ""D:\Programme\Steam\Steam.exe" -silent" ["Valve Corporation"]
"trustmode" = "D:\DOKUME~1\BLACK-~1\ANWEND~1\CLOCKF~1\time sign.exe" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "D:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"KEN Taskbar Client" = ""D:\Programme\KEN!\kentbcli.exe"" ["AVM Berlin"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"NvCplDaemon" = "RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"WinampAgent" = "D:\Programme\Winamp\winampa.exe" [null data]
"ICQ Lite" = ""D:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = "D:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"F-Secure Manager" = ""D:\Programme\F-Secure\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"DAEMON Tools" = ""D:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"NetPumper" = ""D:\Programme\NetPumper\NetPumperIEProxy.exe"" ["Icenet LLC"]
"jumpcoalwarnsoap" = "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\messbluejumpcoal\ThisName.exe" [file not found]
"DXDllRegExe" = "D:\WINDOWS\System32\dxdllreg.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{C7B6903B-3B89-4348-883D-8A72FFFBF804}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\WINDOWS\System32\geebb.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "D:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "D:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "D:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "D:\WINDOWS\System32\Audiodev.dll" [MS]
"{5A048F10-C886-4617-9B44-A051C221DDB2}" = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\WINDOWS\system32\mvorcl32.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! geebb\DLLName = "D:\WINDOWS\System32\geebb.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "D:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Black-Haze" & "All Users" startup folders:
------------------------------------------------------------

D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"At1" -> launches: "D:\WINDOWS\user32.exe" [null data]
"At2" -> launches: "D:\WINDOWS\dr.exe" [file not found]
"At3" -> launches: "D:\WINDOWS\dr.exe" [file not found]
"At4" -> launches: "D:\WINDOWS\patcher.exe" [null data]
"At5" -> launches: "D:\WINDOWS\user32.exe" [null data]
"At6" -> launches: "D:\WINDOWS\widupdate.exe" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "D:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "D:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "&FlashGet"
"Exec" = "D:\PROGRA~1\FlashGet\flashget.exe" ["FlashGet.com"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVM KEN Klient, KEN Client Service, "D:\Programme\KEN!\KENCLI.EXE" ["AVM Berlin"]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""D:\Programme\F-Secure\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
F-Secure Management Agent, FSMA, ""D:\Programme\F-Secure\Common\FSMA32.EXE"" ["F-Secure Corporation"]
F-Secure Network Request Broker, F-Secure Network Request Broker, ""D:\Programme\F-Secure\Common\FNRB32.EXE"" ["F-Secure Corporation"]
NVIDIA Display Driver Service, NVSvc, "D:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "D:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 64 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 169 seconds.
---------- (total run time: 566 seconds)

Hallo,
von wegen das was ich sehen woillte ist schon drauf, das Log könnte ein Lehrbeispiel dafür sein was man bei HijackThis nicht sieht.

überprüfe folgende Dateien ebenfalls bei virustotal und poste das jeweilige Ergebnis:
D:\WINDOWS\system32\mvorcl32.dll
D:\WINDOWS\user32.exe
D:\WINDOWS\patcher.exe
D:\WINDOWS\widupdate.exe (falls vorhanden)

Außerdem postes du mal die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren.


Übrigens, fairerweise muss ich sagen das es wohl auf ein Neuaufsetzen des Systems hinauslaufen wird, aber es wäre nett wenn ich dein System noch etwas weiter untersuchen könnte, da ich mehr über den Trojaner erfahren will.



Grüße Wildone