Hallo,

ich habe folgendes Problem. Und zwar wollte bei meinen Eltern am Computer meine Neffin sich ein Video ansehen im Internet und hat da wohl irgendeien Codec runtergeladen. Jedenfalls erscheint jetzt andauernd critical error (Trojan backdoor virus found), es öfnen sich ununterbrochen Internetseiten mit irgendwelchen Malware - Virus entferner - Spyware zeug. Mein Virusprogram - Sophos AntiVir - hat es komplett außer Kraft gesetzt und es haben sich dafür 2 andere Virenprogramme von selbst installiert, die ich aber - hoffentlich - mittlerweilen wieder gelöscht habe.

Jemand ne Idee, wie man dagegen vorgehen könnte? Ich werd auch gleich mal ne HijackThis log posten...

Zitat:

Zitat von Frederick

Ich werd auch gleich mal ne HijackThis log posten...

Gute Idee, da wird Dir bestimmt geholfen!

Logfile of HijackThis v1.99.1
Scan saved at 10:26:48, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\Programme\strCodec\isamonitor.exe
C:\Programme\strCodec\pmsngr.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\strCodec\pmmon.exe
C:\Programme\strCodec\isamini.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\totalcmd\TOTALCMD.EXE
E:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ++p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.1.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\strCodec\isaddon.dll
O2 - BHO: (no name) - {4F7757E4-C577-41C0-9DF5-6DB4A47904C0} - C:\WINDOWS\system32\ccfgnt32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\strCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Ardamax Keylogger] C:\Programme\Ardamax Keylogger Lite\akl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shellapi32] svcnet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\DOWNLO~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\DOWNLO~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/...dsolutions.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

P.S. Habe mal alle neu hinzugefügten Dateien vom gestrigen Datum versucht zu löschen... Geht aber bei manchen nicht, wie z.B. syycum.dll in system 32, wiaserv.dll, wiadebug.log im Windows ordner

Noch ein Zusatz. Unten in meiner Taskleiste blinkt andauernd ein Symbol welches zwischen einem blauen Fragezeichen und einem Parken verboten Symbol wechselt. Klick ich drauf, will er irgendwelche Seiten aufmachen...

Arbeite bitte diese Anleitung ab.
Poste die Ergebnisse!
Deinstalliere über Start>Systemsteuerung>Software Dir unbekannte Programme sowie:

C:\Programme\strCodec\isamonitor.exe
C:\Programme\strCodec\pmsngr.exe
C:\Programme\strCodec\pmmon.exe
C:\Programme\strCodec\isamini.exe
Diese Datei suchen und Löschen....
C:\Programme\strCodec\isaddon.dll

falls vorhanden.

Alles bitte im abgesicherten Modus! Deaktiviere die Systemwiederherstellung dafür!



Lösche gegebenenfalls die Ordner manuell!

Lasse folgende Datei bei Jotti und Virustotal auswerten:

C:\WINDOWS\system32\ccfgnt32.dlll
C:\Programme\Ardamax Keylogger Lite\akl.exe
C:\WINDOWS\system32\syycum.dll

Link in meiner SIG. Poste das gesamte Ergebnis einschleißlich der dort angegebenen Größe der Datei! Auch wenn nichts gefunden wird

Was mir noch sorgen macht:

O4 - HKCU\..\Run: [Shellapi32] svcnet.exe

Schau mal, ob du diese Datei findest.....sollte sich aber wohl um diesen Freund handeln!

Poste auch noch ein neues LOG wenn du die Anleitung abgearbeitet hast!
Dann sehen wir weiter!


Gruß Mellosun

Ok, dauert aber etwas. ABER: Ich komme nicht in den abgesicherten Modus. Ich kann die F8 Taste drücken sooft ich will, aber fährt jedesmal normal hoch. Muss es also alles unter normal Windows versuchen...

Zitat:

Zitat von Mellosun

Arbeite bitte diese Anleitung ab.
Poste die Ergebnisse!

SmitFraudFix v2.92

Scan done at 11:55:11,64, 18.09.2006
Run from E:\Programme\Smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{6076d2b1-634c-4685-843b-f826045ea5dc}"="hemadynamometer"

[HKEY_CLASSES_ROOT\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}\InProcServer32]
@="C:\WINDOWS\system32\syycum.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}\InProcServer32]
@="C:\WINDOWS\system32\syycum.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\syycum.dll -> Hoax.Win32.Renos.gen.d
C:\WINDOWS\system32\syycum.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\strCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von Mellosun

Deinstalliere über Start>Systemsteuerung>Software Dir unbekannte Programme sowie:

C:\Programme\strCodec\isamonitor.exe
C:\Programme\strCodec\pmsngr.exe
C:\Programme\strCodec\pmmon.exe
C:\Programme\strCodec\isamini.exe
Diese Datei suchen und Löschen....
C:\Programme\strCodec\isaddon.dll

falls vorhanden.

Alles bitte im abgesicherten Modus! Deaktiviere die Systemwiederherstellung dafür!



Lösche gegebenenfalls die Ordner manuell!

Abgesicherter Modus geht nicht. Keine Ahnung warum. Die Dateien lassen sich auch nicht manuell löschen.

Zitat:

Zitat von Mellosun

Lasse folgende Datei bei Jotti und Virustotal auswerten:

C:\WINDOWS\system32\ccfgnt32.dlll
C:\Programme\Ardamax Keylogger Lite\akl.exe
C:\WINDOWS\system32\syycum.dll

Link in meiner SIG. Poste das gesamte Ergebnis einschleißlich der dort angegebenen Größe der Datei! Auch wenn nichts gefunden wird

ccfgnt32.dlll - Virus Total:

STATUS: FINISHEDComplete scanning result of "ccfgnt32.dll", received in VirusTotal at 09.18.2006, 12:11:07 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.16 09.18.2006 ADSPY/Stud.A.1
Authentium 4.93.8 09.17.2006 no virus found
Avast 4.7.844.0 09.15.2006 Win32:Trojano-3384
AVG 386 09.15.2006 Adware Generic.LRH
BitDefender 7.2 09.18.2006 Trojan.Downloader.Agent.RG
CAT-QuickHeal 8.00 09.15.2006 no virus found
ClamAV devel-20060426 09.17.2006 no virus found
DrWeb 4.33 09.18.2006 Trojan.DownLoader.6588
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3084 09.18.2006 no virus found
Ewido 4.0 09.18.2006 Downloader.Small.cgu
Fortinet 2.82.0.0 09.18.2006 W32/Small.CGU!tr
F-Prot 3.16f 09.17.2006 no virus found
F-Prot4 4.2.1.29 09.17.2006 no virus found
Ikarus 0.2.65.0 09.18.2006 AdWare.Stud.A
Kaspersky 4.0.2.24 09.18.2006 not-a-virus:AdWare.Win32.Stud.a
McAfee 4853 09.15.2006 potentially unwanted program Adware-KeenValue
Microsoft 1.1560 09.17.2006 no virus found
NOD32v2 1.1760 09.18.2006 Win32/Adware.BHO.AA
Norman 5.90.23 09.15.2006 W32/Stud.B
Panda 9.0.0.4 09.17.2006 Adware/KeenValue
Sophos 4.09.0 09.18.2006 no virus found
Symantec 8.0 09.18.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 Adware/Stud.a
UNA 1.83 09.18.2006 Adware.Stud.326A
VBA32 3.11.1 09.17.2006 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.7:9 09.17.2006 no virus found


Aditional Information
File size: 10653 bytes
MD5: 794297fe4114f85f6b7b0c50adf968f0
SHA1: 9d6c1c4ef4a2d879e7ed3592720896098f8602f2
packers: UPX

Jotti:

Datei: ccfgnt32.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Adware-Spyware/Stud.A.1 adware gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Trojano-3384 gefunden
AVG Antivirus Generic.LRH gefunden
BitDefender Trojan.Downloader.Agent.RG gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.6588 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Small.CGU!tr gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Stud.a gefunden
NOD32 Win32/Adware.BHO.AA application gefunden
Norman Virus Control W32/Stud.B gefunden
UNA Adware.Stud gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan-Downloader.Agent.49 gefunden (mögliche Variante)

C:\Programme\Ardamax Keylogger Lite\akl.exe und C:\WINDOWS\system32\syycum.dll sind beide nicht mehr vorhanden...

Zitat:

Zitat von Mellosun

Was mir noch sorgen macht:

O4 - HKCU\..\Run: [Shellapi32] svcnet.exe

Schau mal, ob du diese Datei findest.....sollte sich aber wohl um diesen Freund handeln!

Ich finde die Datei leider nirgends.

Zitat:

Zitat von Mellosun

Poste auch noch ein neues LOG wenn du die Anleitung abgearbeitet hast!
Dann sehen wir weiter!

Logfile of HijackThis v1.99.1
Scan saved at 12:23:32, on 18.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\totalcmd\TOTALCMD.EXE
E:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4F7757E4-C577-41C0-9DF5-6DB4A47904C0} - C:\WINDOWS\system32\ccfgnt32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Ardamax Keylogger] C:\Programme\Ardamax Keylogger Lite\akl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shellapi32] svcnet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\DOWNLO~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\DOWNLO~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E60ECC4-5507-4565-9E20-EBEE3674C479}: NameServer = 217.237.149.225 217.237.150.188
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS




Gruß Mellosun[/QUOTE]

Nochmal Hallo,

also ich denke, das beste was du machen kannst, ist dein System neu Aufsetzen.
Die dateien die du nicht findest (
C:\Programme\Ardamax Keylogger Lite\akl.exe und C:\WINDOWS\system32\syycum.dll ) müssen da sein, da sie im log angezeigt werden.

Das die Dateien sich nicht Löschen lassen, im normalen Modus, ist klar. Sie sind ja in gebrauch!

Da die eine Datei ein Downloader ist, und man nicht weiß, was er sonst nch alles aus dem netz nachgeladen hat, waäre es das sicherste und Einfachste, dein System, nach Anleitung ( siehe SIG ) neuaufzusetzen.
Das ist meine Meinung und ich weiß nicht, ob jemand anders von hier andere Meinung ist!

Entweer wartest, bis Dir jemand was anderes sagt oder machst XP Platt und setz es neu auf!


Gruß Mellosun

Mmh... Selbst wenn ich versteckte Dateien anzeigen lasse, findet er die beiden Dateien nicht. Ich werd trotuzdem mal die ccfgnt32.dll Datei mit Killbox löschen, oder?

Ach ja... im übrigen ist dieses nervige blinkende Symbol aus der Taskleiste verschwunden und es öffnen sich auch Internetseiten wieder normal.

Ach ja... Die Datei C:\WINDOWS\system32\syycum.dll ist laut dem SmitfraudFix gelöscht worden. Und der Ordner strCodec ist auch nicht mehr da. Scheint also irgendwie alles wieder zu gehen hoff ich...