Ein Blick auf mein LogFile - evtl. Viren

Mat · 29.05.2007, 20:54

Guten Abend allerseits,

In den letzten paar Tagen habe ich einen immensen popup-Schub.
Die popups heissen meistens

"Systemdoctor" - Aufforderung zur Bereinigung meines Systems

"China Check your age" - naja so ein Test um das Alter zu checken

und diverse Partnersuche pages...

Ich habe Windows XP. Allerdings habe ich es doppelt auf meinem PC. Laufwerk C und G. Im Moment arbeite ich nur auf dem Laufwerk G - Hier besteht auch das Problem.

Falls Ihr etwas in meiner LogFile findet, wäre ich euch sehr dankbar, mir dies mitzuteilen.

Log:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 19:53:57, on 29.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\LogMeIn\RaMaint.exe
F:\LogMeIn\LogMeIn.exe
G:\Programme\CyberLink\Shared files\RichVideo.exe
G:\Programme\Analog Devices\SoundMAX\SMAgent.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\Explorer.EXE
G:\Programme\Logitech\G-series Software\LGDCore.exe
G:\Programme\Logitech\G-series Software\LCDMon.exe
G:\Programme\Java\jre1.6.0_01\bin\jusched.exe
G:\Programme\CyberLink\PowerDVD\PDVDServ.exe
G:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
G:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
G:\Programme\iTunes\iTunesHelper.exe
G:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
F:\LogMeIn\LogMeInSystray.exe
G:\WINDOWS\Mixer.exe
G:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
G:\Programme\Analog Devices\SoundMAX\Smax4.exe
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\iPod\bin\iPodService.exe
G:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
G:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
G:\Programme\Logitech\SetPoint\SetPoint.exe
G:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
G:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Valve\Steam\Steam.exe
G:\Programme\MSN Messenger\msnmsgr.exe
G:\Programme\ICQLite\ICQLite.exe
G:\Programme\MSN Messenger\usnsvc.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\Dokumente und Einstellungen\M.Herrmann\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.finderg.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = M.Herrmann
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F3 - REG:win.ini: run= 
O4 - HKLM\..\Run: [Launch LGDCore] "G:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "G:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] G:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "G:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "F:\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SoundMAXPnP] G:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "G:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "G:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [setup] rundll32.exe "G:\WINDOWS\system32\wlfnqnoe.dll",realset
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [StartCCC] G:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159064364281
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - G:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - G:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - G:\Programme\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - F:\LogMeIn\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - F:\LogMeIn\LogMeIn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - G:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - G:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Danke danke danke.
Grüsse,
Mat

Mat · 30.05.2007, 22:52

Hat keiner eine Idee ?

Würde mir wirklich helfen...

ordell1234 · 30.05.2007, 23:24

Hallo Mat,

zur Form:

- Bitte poste keine logs im code-Format, das normale Layout ist übersichtlicher.
- Bitte editiere persönliche Angaben in logs.

zum Inhalt:

Zitat:

F3 - REG:win.ini: run=

Hast du schon Malware "beseitigt"? Wenn ja, dann sage bitte, was und wo. Den Eintrag kannst du fixen.

- werte die Datei G:\WINDOWS\system32\wlfnqnoe.dll bei virustotal.com aus und poste das Ergebnis inkl. Dateigröße. Ich kenne sie nicht und Google bis dato auch nicht

.

- lasse smitfraudfix laufen und poste das log

- lasse escan nach der Anleitung in den faq laufen und poste bitte das log der find.bat -> ggf. Editieren deiner persönlichen Angaben nicht vergessen

- benenne Hijackthis.exe in beliebig.exe um und poste ein neues log

Grüße

Ein Blick auf mein LogFile - evtl. Viren

Log-Analyse und Auswertung: Ein Blick auf mein LogFile - evtl. Viren