Hallo,
vielen Dank zuerst für Eure schnellen Antworten. Ich hoffe ich hab alle Hausaufgaben erledigt...
Die Datei vom Norman war C:\windows\winlogon32.dll
Zu C:\APO\IOMINISV.EXE dieses Programm kenne ich.
Die drei Fixes im HJT und dann
AVZ wie angegeben habe ich ausgeführt.
Hier das neue HJT Log:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:49:48, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HiJackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
|
@sunny: Das mit dem Virustotal hat etwas gedauert und ich verstehe nicht so genau, was ich Euch hier antworten soll. Es ist aber was gefunden worden, vielleicht hilft Euch der Link zum Ergebnis:
::::: VirusTotal :::::
Einen Escan hatte ich vorher auch noch mit folgendem Ergebnis durchgeführt:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt
Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Mon Apr 23 16:28:57 2007 => Virus-Datenbank Datum: 4/23/2007
Mon Apr 23 17:01:20 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:39 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:48 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:04 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:19 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:43 2007 => Datei C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:35:39 2007 => Datei C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002320.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002332.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002339.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:54:05 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:27 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:45 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:59:10 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 17:01:20 2007 => Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 23 16:31:42 2007 => File C:\DOKUME~1\Apotheke\LOKALE~1\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:31:59 2007 => Datei C:\APO\ALT\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:32:42 2007 => Datei C:\APO\ALT\IOUPD.EXE//WISE0296.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:33:21 2007 => Datei C:\APO\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:35:38 2007 => File C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:51:02 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001263.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:46 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001361.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:50 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001468.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:52:07 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001748.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Executable Command Found in D\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:31:40 2007 => C:\DOKUME~1\Apotheke\LOKALE~1\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 23 16:35:36 2007 => C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\i386\HOSTS:
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 17:01:20 2007 => Gescannte Dateien: 59047
Mon Apr 23 17:01:20 2007 => Gefundene Viren: 25
Mon Apr 23 17:01:20 2007 => Anzahl der desinfizierten Dateien: 0
Mon Apr 23 17:01:20 2007 => Umbenannte Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl der gelöschten Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl Fehler: 24
Mon Apr 23 17:01:20 2007 => Dauer des Scans bisher: 00:31:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:08 2007 => Specherüberprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Registry Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung aller Festplatten :Aktiviert
|
So...
...Leider läuft der Rechner nur noch im abgesicherten Modus.
Ist noch was zu retten?
Herzliche Grüße aus Berlin
Robert
23.04.2007, 18:12
Baum-Darstellung