Hallo,

ich komme in letzer Hoffnung zu euch. Spybot und NOD32 haben schon alles getan.
Trotzdem kann ich den IE kaum nutzen, beim schreiben hakt es und er öffnet sich automatisch und geht z.B. auf folgende URL's:

h**p://89.188.16.16/trafc-2/rfe.php?cmp=spt_meta_kw&nid=ba&uid=4DB6528C1F8E11DC972AF67706FFFFFF&guid=ED2F9A7EEC1A4BFF9E3EA595510096F8&url=http:%2F%2Fwww.trojaner-board.de%2Flogin.php%3Fdo=login&affid=67706&lid=trojan

Dasselbe auch mit IP 65.243.103.60 vorne. Weiß nicht was ich mir da eingefangen habe.
Hoffe hier kann mir jemand helfen! Hier das Logfile von Hijack...

Logfile of HijackThis v1.99.1
Scan saved at 15:26:24, on 22.06.2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Windows\ATK0100\HControl.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\NOD32 2.7\nod32kui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\VMware\VMware Workstation\hqtray.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\WLAN Booster\WBTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Yodm3D\Yodm3D.exe
C:\Program Files\RAM Booster 1.30\RAMBooster.exe
C:\Windows\System32\rundll32.exe
C:\Users\***\AppData\Local\Temp\wtdnatbu.exe
C:\Program Files\RMClock 2.2\RMClock.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\ATK0100\ATKOSD.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Notebook Hardware Control\nhc.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe
C:\Program Files\µTorrent 1.6.1\utorrent161.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot 1.4\TeaTimer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9c.exe
C:\Users\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 165.228.131.10:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7 Pro\IE7Pro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.4\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: WirelessBooster Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\PROGRA~1\WLANBO~1\TweakBHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [HControl] C:\Windows\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\VistaCodecPack\QT\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\NOD32 2.7\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SmartPatrol] C:\PROGRA~1\WEBSIT~1.5\SmartPatrol.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TweakMASTER] "C:\PROGRA~1\WLANBO~1\WBTray.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DUMeter 3.50\DUMeter.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot 1.4\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools 4.08\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [{2256CF1E-D19C-2CD6-0205-080000070308}] C:\Users\***\AppData\Roaming\common.exe
O4 - HKCU\..\Run: [Yodm3D] C:\Program Files\Yodm3D\Yodm3D.exe
O4 - HKCU\..\Run: [RMClock] "C:\Program Files\RMClock 2.2\RMClockLauncher.exe"
O4 - HKCU\..\Run: [RAM Booster Expert] "C:\Program Files\RAM Booster 1.30\RAMBooster.exe" /start
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\ddayx.dll,CreateProtectProc
O4 - HKCU\..\Run: [DDC] C:\Users\***\AppData\Local\Temp\wtdnatbu.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot 1.4\TeaTimer.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7 Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7 Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O15 - Trusted Zone: h**p://linktrader.cyberspacehq.com
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) -
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} -
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) -
O16 - DPF: {99FE5072-78AA-4FEE-89BA-69A5FA55343F} -
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: khfcdbb - C:\Windows\SYSTEM32\khfcdbb.dll
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\WINDOW~1.50\wbsrv.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Ad-Aware 7.0.1.3\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: gearsec - GEAR Software - C:\Windows\system32\gearsec.exe
O23 - Service: GFI LANguard N.S.S. 7.0 Attendant Service - Unknown owner - C:\Program Files\GFI LANguard 7.0\lnssatt.exe" -service (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Ahead\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\NOD32 2.7\nod32krn.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI\RpcSandraSrv.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Program Files\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~1\WINDOW~1.50\VistaSrv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC Enterprise 4.2.9\WinVNC4.exe" -service (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Danke im voraus,
MFG bknown

Beim schließen des IE öffnete sich gerade dieser Link:
h**p://eas.apm.emediate.eu/eas?camp=630;cu=1275;cre=mu;target=_blank;ord=[timestamp]

Hiiiiiiilfe

Zitat:

C:\Program Files\NOD32 2.7\nod32kui.exe

falls du kennst kann sie bleiben ansonsten mit VirusTotal checken

Zitat:

Unbekannt
C:\Users\***\AppData\Local\Temp\wtdnatbu.exe

dringend löschen und cache/temp etc cleanen!

Zitat:

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

fixxen! würd nie regedit=1 setzen

Zitat:

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\ddayx.dll,CreatePr otectProc

dringend löschen! Auch irgendnen Mist im Temp-Ordner

Zitat:

Unbekannt
O20 - Winlogon Notify: khfcdbb - C:\Windows\SYSTEM32\khfcdbb.dll

mit VirusTotal checken und ggf. löschen!

Zitat:

O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~1\WINDOW~1.50\VistaSrv.exe

falls du kennst kann sie bleiben ansonsten mit VirusTotal checken

C:\Users\***\AppData\Local\Temp\wtdnatbu.exe
C:\Users\***\AppData\Local\Temp\ddayx.dll

lassen sich nicht löschen! muss ich im abgesicherten modus machen? ...
die anderen files lass ich von virustotal checken und wie fixx ich regedit = 1? hab ich nicht gesetzt!!!

1. ergebniss - Unbekannt
O20 - Winlogon Notify: khfcdbb - C:\Windows\SYSTEM32\khfcdbb.dll

Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 TR/Dldr.ConHook.Gen
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 no virus found
AVG 7.5.0.476 06.22.2007 Adware Generic2.DXZ
BitDefender 7.2 06.22.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.22.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3735 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.22.2007 no virus found
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.21.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 Backdoor.Win32.Prorat.19.i
Kaspersky 4.0.2.24 06.22.2007 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5058 06.21.2007 no virus found
Microsoft 1.2701 06.22.2007 no virus found
NOD32v2 2344 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 W32/Virtumonde.dam
Panda 9.0.0.4 06.22.2007 Suspicious file
Sophos 4.19.0 06.22.2007 Virtumundo
Sunbelt 2.2.907.0 06.21.2007 VIPRE.Suspicious
Symantec 10 06.22.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 Adware/Virtumonde.jp
VBA32 3.12.0.2 06.21.2007 no virus found

Also?

danke

Zitat:

Zitat von bknown

C:\Users\***\AppData\Local\Temp\wtdnatbu.exe
C:\Users\***\AppData\Local\Temp\ddayx.dll

Hm jo am besten im abgesicherten Modus. Nutz am besten CleanUp! (siehe Sig)

Zitat:

O20 - Winlogon Notify: khfcdbb - C:\Windows\SYSTEM32\khfcdbb.dll

auch löschen im Abgesicherten Modus

Hey Kerosin, was gibst Du da für Ratschläge???
Bleib mal geschmeidig und lösch nicht alles hier auf seinem System!!!

Diesen unbdingt fixen:
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Lade Dir clearprog runter :
Downloads von shTools.de
Prog starten, Haken bei "clear all"

Lade Dir Vundofix herunter :
Vundofix
Im abgesichertem Modus (F8) scanst Du dann mit diesem Programm Dein System.
Dann nochmals mit Spybot den Rechner scannen, alles löschen was der findet.
Anschliessend im normalen Modus booten, wieder Spybot scannen lassen.

Anschliessend nach dieser Anleitung einen e-scan machen:
http://www.trojaner-board.de/38066-e...ightymarc.html

Ergebnis hier posten!

Zu Kerosin: Im übrigen hat bknown das Betriebssystem Vista drauf.....
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\PROGRA~1\WINDOW~1.50\VistaSrv.exe

So, ich habe es geschafft! Bei mir ist glaube einiges "infiziert" ... Dachte mit NOD32 bin ich gut bedient und sicher

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows [Version 6.0.6000]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\Users\***\AppData\Local\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\Windows\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Windows\scvhost.exe//PE_Patch.Stolen infiziert von "Backdoor.Win32.VB.awr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\wtdnatbu.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\ygdqwfek.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\wtdnatbu.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\Local\Temp\ygdqwfek.exe infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\aaf7a03-59addbb4/BlackBox.class infiziert von "Trojan-Downloader.Java.OpenConnection.aa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Windows\scvhost.exe//PE_Patch.Stolen infiziert von "Backdoor.Win32.VB.awr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Windows\system32\khfcdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Windows\system32\khfcdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.62. Keine Aktion vorgenommen.
File C:\Program Files\NOD32 2.7\infected\3RADUOCA.NQF//PE-Crypt.XorPE//PE_Patch.PECompact markiert als "not-a-virus:AdWare.Win32.Virtumonde.ki". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Program Files\RealVNC Enterprise 4.2.9\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
Datei C:\Program Files\Serv-U 6.3\ServUTray.exe markiert als not-a-virus:Server-FTP.Win32.Serv-U.6200. Keine Aktion vorgenommen.
File C:\Windows\System32\khfcdbb.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Windows\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\ProgramData\Microsoft\Windows\Start Menu\programs\antispyware
Offending Folder found: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\antispyware
Offending Folder found: C:\ProgramData\microsoft\windows\start menu\programs\antispyware
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Program Files\Ahead\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Program Files\EA GAMES\Battlefield 2\NODVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Program Files\Microsoft Office\Office12\1031\OneNoteMobile.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\643FY456\ErrorSafeNewReleaseInstall[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PYUV0O84\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\AppData\Local\VirtualStore\Program Files\EA GAMES\Battlefield 2\NO DVD\BF2 DVD_MINI.MDF nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Users\***\Downloads\SOFTWARE\System Applications\WLAN Booster 2.03.740\WirelessBooster.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 158608
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 156
Dauer des Scans bisher: 01:40:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:02:58,30
Batchende: 11:03:23,21

Zitat:

Zitat von Mobius07

Hey Kerosin, was gibst Du da für Ratschläge???
Bleib mal geschmeidig und lösch nicht alles hier auf seinem System!!!

Alles? Etwas übertrieben oder?
Beim Regedit und den Temp ordner sind wir uns dekk ich mal einig dass das weg muss.

Und C:\Windows\SYSTEM32\khfcdbb.dll ist sicher keine Systemdatei und wurde auch bei anderen schon als schädlich befunden. Daher sollte er diese auch prüfen und ggf. löschen.

Außerdem sollte er nod32kui.exe und VistaSrv.exe checken falls er sie nicht kennt (nicht löschen)!
Lies erstma bevor du solche unverschämten Äußerungen hier bringst -.-"

Zitat Kerosin: Lies erstma bevor du solche unverschämten Äußerungen hier bringst
Also Du wilder Löscher, sofern es Deiner Aufmerksamkeit entgangen sein sollte, hat bknown diese drauf
AdWare.Win32.Virtumonde.jp *Vundo* und noch diesen netten Gast:
RemoteAdmin.Win32.WinVNC.4. und diesen hier
Backdoor.Win32.VB.awr..... und noch ein paar....

Deine Fixerei und Löscherei hat Null gefutzt, siehe Dir den e-scan an, den Du anscheinend überhaupt nicht wahr genommen hast.
... und dann schreibst Du dazu noch allen ernstes
Zitat "Ansonsten müssen wir weitersuchen."

Du hättest bknown folgendes bei einem Backdoor-Befall raten müssen:
http://www.trojaner-board.de/12154-a...sicherung.html

NEIN oder? Die Freude war groß und jetzt ist das was ich nicht gehofft habe eingetroffen... es gibt keine andere Möglichkeit als Neuaufsetzen?

Alle Deine Dateien können manipuliert werden , Dritte können Deine Daten und in Dein System einsehen. Dein Rechner ist also nicht mehr vertrauenswürdig.
Ohne ein Neuaufsetzen wirst Du Dir niemals sicher sein können, ob Dein Rechner wirklich frei von Mal-und Adware ist.
Es steht Dir natürlich frei, weiteren Ratschlag hier im Board einzuholen, aber ich schätze mal, die werden die gleiche Meinung haben.
Zu Deiner eigenen Sicherheit: Setz neu auf, Anleitung habe ich ja unten verlinkt.

Naja, ehrlich hat ich es eh schon vor ... Dann geht der Samstag jetzt halt drauf :/ Danke für alles !!! Hast Du vlt. noch n Tip für Antivirenprogramm, Schutz vor Mal- und Adware und Firewall?

100 % igen Schutz wirst Du nie bekommen!
Jeder hat seine Progrämmchen und Tipps, ich kann nur von meiner persönlichen Erfahrung ausgehen: Also, mit Spybot und Antivir fährst Du ziemlich gut. Beide Programme kann man sehr gut konfigurieren, z.B. diverse Einstellungen bei Spybot und Antivir verändern , letzteres kannst Du sogar "agressiv" einstellen. Die Windows-Firewall und die im Router sind völlig ausreichend. Nimm alternative Browser wie Firefox, lade Dir z.B. das kleine Tool SideAdvisor von McAfee runter, was vor schädlichen Seiten warnt (Kennt aber noch nicht alle Websides...)
Aber vor allen Dingen solltest Du Dein Surf-Verhalten überdenken, Filesharing meiden, nicht jede Datei annehmen....