Log-Analyse und Auswertung: Log

wolverin · 04.07.2007, 19:21

Logfile of HijackThis v1.99.1
Scan saved at 20:07:27, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TrueImage\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Dokumente und Einstellungen\+++\Desktop\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\+++\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Outlook\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\+++\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h++p://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162067862078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181733637375
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

habe folgendes problem... plötzlich wurde mein pc langsamer und bei benutzung des internetexplorers wurde ich ständig auf eine antivirenseite weiterverlinkt die ich nicht kannte, meine firewall schlug an mit einer xelskioo.exe und einem winfixer und ich solle doch einen test auf dieser seite machen...
das machte mich stutzig und ich lies meine norton internet security 2007 updaten und drüber laufen. fand nichts

also habe ich die xelskioo.exe manuell gelöscht. winfixer habe ich nicht gefunden.

dann antivir installiert, update, scan. fand einen trojaner tr/crypt.xpack.gen in der datei system32\vtuusqr.dll.

drückte auf löschen und dachte naja schaust mal nach. datei noch da. und antivir hatte ins ergebnislog geschrieben. konnte nicht löschen. die meldung mir aber direkt weiterzugeben kam den programmieren des programms anscheinend nicht in den sinn

manuell löschen ist nicht wegen zugriff, auch im abgesicherten modus nicht. also gegoogelt, hier gelandet, von hijack gehört und log-file gemacht.

edit:achja was ist diese sarah.dll???
edit2:ähm antivir schlägt jedesmal wegen dem trojaner an wenn ich den internetexplorer benutze, spich seite rückwärts oder auf link klicken. auch beim papierkorb leeren. aber alle optionen helfen nicht...

hoffe ihr könnt mir helfen

danke

myrtille · 04.07.2007, 20:15

Hi,
ich hab schon so eine Idee was bei dir wohnt, mach aber sicherheitshalber erstmal folgendes:
Benenne hijackthis.exe um in abc.com und erstelle ein neues Log und poste es hier.

lg myrtille

wolverin · 04.07.2007, 20:22

toll jetzt funktioniert meine trayleiste nicht mehr richtig...
zeigt nur noch die hälfte der symbole an...

Logfile of HijackThis v1.99.1
Scan saved at 21:19:54, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\TrueImage\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Miranda\miranda32.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Sicherheit\abc.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1966075C-C222-4DDA-A478-2B3EEEC3E038} - C:\WINDOWS\system32\geeby.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\flpyculx.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\vtuusqr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Miranda IM.lnk = C:\Programme\Miranda\miranda32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\+++\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Outlook\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\+++\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h++p://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162067862078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181733637375
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: geeby - C:\WINDOWS\system32\geeby.dll
O20 - Winlogon Notify: vtuusqr - C:\WINDOWS\SYSTEM32\vtuusqr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

alles so gemacht

myrtille · 04.07.2007, 20:31

Hi, folgendes bitte einmal abarbeiten:
Vundofix:
!!* Systemwiederherstellung deaktivieren.!! (Start->Rechtsklick auf Arbeitsplatz->Eigenschaften->Systemwiederherstellung)
* Lad dir Vundofix Download
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Dann
Fix mit HijackThis im abgesicherten Modus folgende Einträge:

Zitat:

O2 - BHO: (no name) - {1966075C-C222-4DDA-A478-2B3EEEC3E038} - C:\WINDOWS\system32\geeby.dll
O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\flpyculx.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\vtuusqr.dll
O20 - Winlogon Notify: geeby - C:\WINDOWS\system32\geeby.dll
O20 - Winlogon Notify: vtuusqr - C:\WINDOWS\SYSTEM32\vtuusqr.dll

und lösches sofern noch vorhanden, die oben genannten Dateien (Dateien sichtbar machen)

Zitat:

C:\WINDOWS\system32\flpyculx.dll
C:\WINDOWS\system32\geeby.dll
C:\WINDOWS\SYSTEM32\vtuusqr.dll

Starte im normalen Modus.

(hier endet theoretisch die Bereinigung von Vundo, da es in letzter Zeit aber vermehrt zu Problemen nach der Bereinigng kam, gebe ich dir die Folgeschritte gleich mit an. Wenn du dich hier schon rückmelden willst, dann erstell bitte ein HJT-Log poste dies und sag welche Probleme noch bestehen.
Sonst Anleitung bis zum Ende durchführen.

)
Wir werden dann jetzt deinen Rechner noch ein wenig aufräumen, Tempordner leeren uÄ:

Lade dir dafür bitte ccleaner und bereinige nun damit dein system. (starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken).
Lass dann ein Programm wie regseeker die Registry nach verwaisten Einträgen durchforsten. (bitte darauf achten, dass unten rechts der haken beim backup gesetzt ist, falls doch ein noch gebrauchter Eintrag gelöscht werden sollte)

Erstelle zum Schluß noch eine filelist.bat:
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung (und [Gc]Sunny, dem ich die Anleitung geklaut habe)*

Melde dich dann bitte hier mit den ergebnissen von vundofix, filelist und einem neuen hijackthislog. Sag uns außerdem ob du noch Probleme hast.

lg myrtille

wolverin · 04.07.2007, 21:33

man der ganze abend versaut nur weil irgendein AK so nen scheiss programmiert.

also vundofix hat mehrere sachen gelöscht. die geeby.dll erst nach dem neustart. allerdings die vtuusqr.dll nicht!

im abgesicherten modus konnte ich zwar in hijack 2 einträge von den genannten fixen aber wieder nicht die von der vtuusqr.dll (hatte nichts offen, keine programme nichts)
manuell ging auch nichts

in windows normal... noch mal alles probiert.
vundofix findes nichts mehr und bei HijackThis sind nur noch die 2 einträge von der vtuusqt.dll übrig.
also wenigstens schon mal ein teilerfolg

dann habe ich alle anderen schritte auch noch befolgt.
der CCleaner ist ja ein klasse programm. 1500mb frei gemacht! da ist das tool in tuneup utilities lange nicht so gut.
für die reg habe ich den regcleaner von tuneup benutzt.

so jetzt kommt noch mal hijacklog und die filelist.

danke schon mal für alles. schon viel sauberer hier. und klasse programme. nur noch die vtuusqr.dll muss weg

Logfile of HijackThis v1.99.1
Scan saved at 22:22:47, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\TrueImage\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Miranda\miranda32.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\TuneUp Utilities\RegistryCleaner.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\+++\Desktop\2.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\vtuusqr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\TrueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Miranda IM.lnk = C:\Programme\Miranda\miranda32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\+++\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Outlook\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Übersetzen mit &dict.leo.org - C:\Dokumente und Einstellungen\+++\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tutrans.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h++p://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h++p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162067862078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181733637375
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: vtuusqr - C:\WINDOWS\SYSTEM32\vtuusqr.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

filelist:

Verzeichnis von C:\

04.07.2007 22:08 1.981 VundoFix.txt
04.07.2007 22:03 3.145.728.000 pagefile.sys
29.10.2006 23:24 223 boot.ini
29.10.2006 14:59 47.564 NTDETECT.COM
29.10.2006 14:59 251.184 ntldr
28.10.2006 22:30 0 MSDOS.SYS
28.10.2006 22:30 0 IO.SYS
28.10.2006 22:30 0 CONFIG.SYS
28.10.2006 22:30 0 AUTOEXEC.BAT
29.08.2002 14:00 4.952 bootfont.bin

Verzeichnis von C:\WINDOWS\system32

04.07.2007 22:07 397.378 perfh009.dat
04.07.2007 22:07 61.034 perfc009.dat
04.07.2007 22:07 73.712 perfc007.dat
04.07.2007 22:07 412.180 perfh007.dat
04.07.2007 22:07 955.722 PerfStringBackup.INI
04.07.2007 22:03 2.422 wpa.dbl
04.07.2007 22:03 88.713 nvapps.xml
04.07.2007 22:03 125.245 OODBS.lor
04.07.2007 19:16 150.792 FNTCACHE.DAT
04.07.2007 13:41 31.254 vtuusqr.dll
06.06.2007 08:38 15.747.032 MRT.exe
19.05.2007 22:08 86.016 ElbyCDIO.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll
25.04.2007 16:22 144.896 schannel.dll

Verzeichnis von C:\WINDOWS\Prefetch

04.07.2007 22:24 0 CMD.EXE-087B4001.pf
04.07.2007 22:21 20.208 NOTEPAD.EXE-336351A9.pf
04.07.2007 22:21 41.340 WINRAR.EXE-3588DFE8.pf
04.07.2007 22:19 107.322 IEXPLORE.EXE-2CA9778D.pf
04.07.2007 22:19 106.198 EXPLORER.EXE-082F38A9.pf
04.07.2007 22:19 17.322 VERCLSID.EXE-3667BD89.pf
04.07.2007 22:19 89.744 REGISTRYCLEANER.EXE-1AA6179F.pf
04.07.2007 22:18 62.324 INTEGRATOR.EXE-33AB5944.pf
04.07.2007 22:18 66.118 UPDATEWIZARD.EXE-03F619AE.pf
04.07.2007 22:18 33.648 WMIPRVSE.EXE-28F301A9.pf
04.07.2007 22:16 85.092 MSIEXEC.EXE-2F8A8CAE.pf
04.07.2007 22:15 114.614 WUAUCLT.EXE-399A8E72.pf
04.07.2007 22:13 77.764 SYSTEMOPTIMIZER.EXE-293C0927.pf
04.07.2007 22:13 67.790 ONECLICKMAINTENANCE.EXE-1C1BB199.pf
04.07.2007 22:10 122.062 CIDAEMON.EXE-27AE97A4.pf
04.07.2007 22:10 81.218 NAVW32.EXE-2944DF24.pf
04.07.2007 22:10 60.392 COH32.EXE-1453A4B6.pf
04.07.2007 22:08 17.718 LUCALLBACKPROXY.EXE-0B5F632D.pf
04.07.2007 22:08 32.586 AUPDATE.EXE-089630E1.pf
04.07.2007 22:08 55.894 LUCOMS~1.EXE-02DB5950.pf
04.07.2007 22:07 75.948 WMIADAP.EXE-2DF425B2.pf
04.07.2007 22:04 20.988 SVCHOST.EXE-3530F672.pf
04.07.2007 22:04 70.752 MIRANDA32.EXE-3A961DF7.pf
04.07.2007 22:04 13.128 STCENTER.EXE-2DCE9FDD.pf
04.07.2007 22:04 30.250 FBOXUPD.EXE-201EA6D5.pf
04.07.2007 22:04 18.792 ALG.EXE-0F138680.pf
04.07.2007 22:04 49.600 WGATRAY.EXE-0ED38BED.pf
04.07.2007 22:04 1.599.180 NTOSBOOT-B00DFAAD.pf
04.07.2007 21:55 18.982 LOGONUI.EXE-0AF22957.pf
04.07.2007 21:51 21.682 RUNDLL32.EXE-35A483DA.pf
04.07.2007 21:51 17.328 IMAPI.EXE-0BF740A4.pf
04.07.2007 21:43 70.152 RUNDLL32.EXE-401B5FD6.pf
04.07.2007 21:34 33.064 RUNDLL32.EXE-147710F4.pf
04.07.2007 21:33 13.448 RUNDLL32.EXE-268BFF96.pf
04.07.2007 21:31 59.450 SOFFICE.EXE-0123C1D7.pf
04.07.2007 21:31 99.164 SOFFICE.BIN-34CEF6B7.pf
04.07.2007 21:23 70.940 TASKMGR.EXE-20256C55.pf
04.07.2007 21:18 39.794 REGSVR32.EXE-25EEFE2F.pf
04.07.2007 21:17 14.858 SYMLCSVC.EXE-04DC2DC5.pf
04.07.2007 21:17 15.120 SYMLCSV1.EXE-0EE21BE3.pf
04.07.2007 21:14 18.700 RUNONCE.EXE-2803F297.pf
04.07.2007 21:11 18.734 RUNDLL32.EXE-2A94BB85.pf
04.07.2007 21:08 21.338 VS7JIT.EXE-2DFA4AB0.pf
04.07.2007 21:08 68.736 NDP1.1SP1-KB867460-X86.EXE-1BF8984A.pf
04.07.2007 20:44 64.610 ACRORD32.EXE-153330F0.pf
04.07.2007 20:41 10.034 MSOHTMED.EXE-14B8D6FE.pf
04.07.2007 20:37 54.332 OSE.EXE-313A091F.pf
04.07.2007 20:32 76.872 NISOPTUI.EXE-29DCFF24.pf
04.07.2007 19:46 89.708 APPSVC32.EXE-05291E4C.pf
04.07.2007 19:34 74.170 MDM.EXE-27F66238.pf
04.07.2007 19:33 23.758 IGDCTRL.EXE-027ED68D.pf
04.07.2007 19:26 22.744 RUNDLL32.EXE-12E27DD0.pf
04.07.2007 19:25 12.424 GRPCONV.EXE-111CD845.pf
04.07.2007 19:25 16.892 RUNDLL32.EXE-3D56695D.pf
04.07.2007 19:24 62.324 SETUP.EXE-1EEF16F7.pf
04.07.2007 19:24 62.706 ANTIVIR_WORKSTATION_WIN704U_D-20C064F7.pf
04.07.2007 19:17 12.556 CALC.EXE-02CD573A.pf
04.07.2007 19:08 32.098 SLE16.TMP-17F8363F.pf
04.07.2007 19:04 43.600 FBOXDIAG.EXE-207F8FF0.pf
04.07.2007 18:55 77.330 NAVSTUB.EXE-06760F0E.pf
04.07.2007 17:08 37.100 SSAUTORN.EXE-26BC4D68.pf
04.07.2007 16:51 72.614 OUTLOOK.EXE-1D428C6B.pf
04.07.2007 16:08 48.358 MSOHELP.EXE-1569BB06.pf
04.07.2007 15:55 32.604 RUNDLL32.EXE-2033640A.pf
04.07.2007 15:55 34.618 RUNDLL32.EXE-2809C582.pf
04.07.2007 15:52 17.346 UISTUB.EXE-303C717B.pf
04.07.2007 15:50 33.860 RUNDLL32.EXE-35577D70.pf
04.07.2007 15:50 33.754 RUNDLL32.EXE-22D2E8E0.pf
04.07.2007 15:49 54.160 MSHTA.EXE-331DF029.pf
04.07.2007 15:49 18.858 RUNDLL32.EXE-19F507BE.pf
04.07.2007 15:48 56.744 COMHOST.EXE-03A47319.pf
04.07.2007 15:47 48.592 LUALL.EXE-0DE1F33B.pf
04.07.2007 15:37 55.484 MSDEV.EXE-0D7F1BFE.pf
04.07.2007 15:37 22.342 XELSKIOO.EXE-08B3E1DF.pf
04.07.2007 15:37 37.964 EXCEL.EXE-0DC93B7A.pf
04.07.2007 15:36 30.742 RUNDLL32.EXE-4CD20FA1.pf
04.07.2007 15:34 65.636 ACRORD32INFO.EXE-19D979CC.pf
04.07.2007 15:26 72.470 UNDELETE.EXE-0121C06D.pf
04.07.2007 14:54 5.956 SWRITER.EXE-39A2289D.pf
04.07.2007 13:49 12.116 RUNDLL32.EXE-451FC2C0.pf
04.07.2007 13:41 11.048 KEYGEN.EXE-299E1180.pf
04.07.2007 13:33 3.576 OSE.EXE-008B8030.pf
04.07.2007 13:33 10.866 MSDE2KS3.EXE-0EC05C0A.pf
04.07.2007 13:32 48.646 SETUP.EXE-17753866.pf
04.07.2007 13:27 42.336 MSPAINT.EXE-11CBB631.pf
04.07.2007 13:11 29.136 G6FTPSRV.EXE-13C4CC5F.pf
04.07.2007 13:11 39.850 DYNDNS.EXE-0D64BDB8.pf
04.07.2007 12:15 57.100 1602.EXE-04938195.pf
04.07.2007 12:05 14.068 _IU14D2N.TMP-296A8194.pf
04.07.2007 12:05 16.508 UNINS000.EXE-1DB78437.pf
04.07.2007 12:04 23.586 SCUMMVM.EXE-363DA47F.pf
04.07.2007 12:02 17.878 SCUMMVM-0.9.1-WIN32.EXE-1EB68250.pf
04.07.2007 12:02 16.288 IS-MEFGL.TMP-104BE13E.pf
04.07.2007 11:58 16.694 IS-VTULK.TMP-2077010D.pf
04.07.2007 11:58 15.878 IS-0G33O.TMP-11B49987.pf
04.07.2007 11:58 28.486 RUNDLL32.EXE-1D19D40F.pf
04.07.2007 11:52 77.310 AZUREUS.EXE-018E10AA.pf
04.07.2007 11:48 37.620 EXCEL.EXE-20C279B7.pf
04.07.2007 11:48 30.104 RUNDLL32.EXE-1AD8395D.pf
04.07.2007 11:38 12.418 MSOHTMED.EXE-2BB12666.pf
04.07.2007 11:35 28.986 MSI30F.TMP-1FE21C09.pf
04.07.2007 11:33 12.146 DUMPREP.EXE-1B46F901.pf
04.07.2007 11:26 17.600 START.EXE-242C25FD.pf
04.07.2007 11:14 57.652 SHREDDER.EXE-0C43FCDA.pf
04.07.2007 11:00 62.538 VLC.EXE-0391A86E.pf
04.07.2007 10:45 17.510 RUNDLL32.EXE-2E5AF1D7.pf
04.07.2007 09:54 49.358 RUNAWAY.EXE-0D1A3A24.pf
04.07.2007 09:14 509.402 Layout.ini
03.07.2007 21:52 52.518 STEAM.EXE-0CCFB9D3.pf
03.07.2007 21:51 40.998 NMIndexStoreSvr.exe-1DBCF9FD.pf
03.07.2007 21:51 19.294 NMBGMONITOR.EXE-0BC10095.pf
03.07.2007 21:47 61.076 NERO.EXE-25A46AAC.pf
03.07.2007 21:24 42.898 RUNDLL32.EXE-36398ECE.pf
03.07.2007 21:10 29.606 ~E5.0001-0151E129.pf
03.07.2007 21:10 68.842 BF2.EXE-04E4B95A.pf
03.07.2007 20:57 49.450 OUTLOOK.EXE-1375A47F.pf
03.07.2007 20:57 46.764 WCESMGR.EXE-0FA17A5A.pf
03.07.2007 20:57 30.504 WCESCOMM.EXE-17B7B561.pf
03.07.2007 20:57 25.370 RAPIMGR.EXE-0BA99646.pf
03.07.2007 19:39 73.230 STARTUPMANAGER.EXE-0C35CE2D.pf
03.07.2007 19:37 13.900 NET1.EXE-029B9DB4.pf
03.07.2007 19:37 12.176 NET.EXE-01A53C2F.pf
03.07.2007 19:37 66.222 SYSTEMCONTROL.EXE-388F9DB4.pf
03.07.2007 19:36 39.670 MMC.EXE-0A5AF4A1.pf
03.07.2007 19:29 16.938 TRACERT.EXE-0E419688.pf
03.07.2007 18:02 14.834 SNDVOL32.EXE-383480B7.pf
03.07.2007 17:08 67.218 DFRGNTFS.EXE-269967DF.pf
03.07.2007 17:08 32.280 DEFRAG.EXE-273F131E.pf
25.06.2007 23:23 7.414 SSSTARS.SCR-2D6FC20D.pf
14.06.2007 16:30 92.262 ACRORD32.EXE-0EC716D9.pf
130 Datei(en) 7.475.010 Bytes
0 Verzeichnis(se), 3.905.986.560 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 2422-CFA9

Verzeichnis von C:\WINDOWS

04.07.2007 22:16 1.138.965 WindowsUpdate.log
04.07.2007 22:03 2.048 bootstat.dat
04.07.2007 21:55 32.644 SchedLgU.Txt
04.07.2007 13:46 926 ODBC.INI
04.07.2007 12:19 116 NeroDigital.ini
04.07.2007 11:32 634 win.ini
28.06.2007 23:35 54.156 QTFont.qfn
28.06.2007 14:22 185 mdm.ini
27.06.2007 14:35 853 wincmd.ini
27.06.2007 14:34 192 wcx_ftp.ini
14.06.2007 20:11 4.346 ODBCINST.INI
14.06.2007 20:10 59 vbaddin.ini
14.06.2007 20:10 1.309 vb.ini
05.02.2007 10:01 1.409 QTFont.for

Verzeichnis von C:\WINDOWS\tasks

04.07.2007 22:03 6 SA.DAT
29.06.2007 21:08 614 Norton Internet Security - Vollst„ndige Systemprfung ausfhren - Besitzer.job
29.06.2007 18:10 392 1-Klick-Wartung.job
29.08.2002 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

04.07.2007 22:24 127.595 filelist.txt
04.07.2007 22:18 0 WcesView.log
04.07.2007 22:18 67 desktop.ini
04.07.2007 22:03 49.152 ~DFAD53.tmp

das letzte verzeichnis habe ich nicht!!!

danke für die hilfe

myrtille · 04.07.2007, 21:44

Das sieht doch schonmal sehr gut aus! :aplaus:

Wenn du die Datei so nicht löschen kannst, dann versuch es mal mit avenger.
Eine sehr schöne Anleitung von Sunny:
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\SYSTEM32\vtuusqr.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Fixe dann die beiden Einträge in HJT:

Zitat:

O2 - BHO: (no name) - {634C7583-74C6-4FEF-BD06-9721761A6815} - C:\WINDOWS\system32\vtuusqr.dll

O20 - Winlogon Notify: vtuusqr - C:\WINDOWS\SYSTEM32\vtuusqr.dll

Danach solltes du fertig sein.

avengerlog und neues HJT-Log hier posten und ich kann dich hoffentlich entlassen.

lg myrtille

wolverin · 04.07.2007, 22:02

noch mal DANKE
es ist alles erledigt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fcvgnmno

*******************

Script file located at: \??\C:\WINDOWS\system32\dnjxoulk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\vtuusqr.VIR deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fcvgnmno

*******************

Script file located at: \??\C:\WINDOWS\system32\dnjxoulk.txt

Script file not found! Error

Could not open script file! Status: 0xc0000034 Abort!
//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fcvgnmno

*******************

Script file located at: \??\C:\WINDOWS\system32\dnjxoulk.txt

Script file not found! Error

Could not open script file! Status: 0xc0000034 Abort!
//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fcvgnmno

*******************

Script file located at: \??\C:\WINDOWS\system32\dnjxoulk.txt

Script file not found! Error

Could not open script file! Status: 0xc0000034 Abort!

musste aber den verlauf ändern weil mein antivir es geschafft hat die dll in VIR umzubennen

hatte schon panik beim neustart 3 blaue bildschirme. aber jetzt schein alles zu klappen.
lasse jetzt eine system-viren-analyse laufen und mal sehen

myrtille · 04.07.2007, 22:06

In dem Fall würde ich eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.) empfehlen.

(fakultativ)

Und evtl noch einmal nen filelist-dingens, der system32 ordner sollte reichen.

lg myrtille

wolverin · 04.07.2007, 23:02

hab wenn alles gemacht kann ja nicht schaden

also "nur scannen" konnte ich nicht anklicken

habe viele fehler bekommen. anscheinend ist das reg-cleaner programm von tuneup auch für die tonne. welcher regcleaner ist einfach klein und gut?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\windows\temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\VundoFix Backups\flpyculx.dll.bad infiziert von "Trojan.Win32.BHO.bd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\geeby.dll.bad infiziert von "Trojan.Win32.BHO.bd" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 76900
Gefundene Viren: 4
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 74
Dauer des Scans bisher: 00:38:38
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:00:45,48
Batchende: 0:00:47,76

filelist kommt gleich nach dem neustart. auf die datei habe ich gerade keinen zugriff

myrtille · 04.07.2007, 23:07

Hi,
escan sieht sehr gut aus. Den Ordner "Vundofix Backups" hätte man eh löschen sollen, das hatte ich vergessen sry.

Die beiden andern Einträge sind Fehlalarme.
(Es kann gut sein, dass du dne Haken nicht mehr setzen kann. Die Anleitung ist, wie du vllt gemerkt hast, nicht up to date)

lg myrtille

wolverin · 04.07.2007, 23:09

ahhh gut das sind fehlalarme

die hätte ich schon selber noch gelöscht

dachte schon die virenscanner die ich benutze finden auch gar nichts

naja vll ist das auch so

hier noch mal file

Verzeichnis von C:\WINDOWS\system32

05.07.2007 00:06 2.422 wpa.dbl
05.07.2007 00:05 88.713 nvapps.xml
05.07.2007 00:05 126.700 OODBS.lor
04.07.2007 23:23 411.850 perfh007.dat
04.07.2007 23:23 397.242 perfh009.dat
04.07.2007 23:23 73.514 perfc007.dat
04.07.2007 23:23 60.898 perfc009.dat
04.07.2007 23:23 955.722 PerfStringBackup.INI
04.07.2007 19:16 150.792 FNTCACHE.DAT
06.06.2007 08:38 15.747.032 MRT.exe

nix neues. trayleiste scheint auch wieder zu funzen

also noch mal danke für alles

myrtille · 04.07.2007, 23:18

Ich denke das wars dann.

Wenn sonst keine Probleme bestehen, kannste den Rest des Abends ja doch noch genießen.

Oder schlafen gehen, was wahrscheinlich die gesündere Variante wär.

lg myrtille

04.07.2007, 20:15	#2
myrtille /// TB-Ausbilder	Log Hi, ich hab schon so eine Idee was bei dir wohnt, mach aber sicherheitshalber erstmal folgendes: Benenne hijackthis.exe um in abc.com und erstelle ein neues Log und poste es hier. lg myrtille __________________

04.07.2007, 22:06	#8
myrtille /// TB-Ausbilder	Log In dem Fall würde ich eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.) empfehlen. (fakultativ) Und evtl noch einmal nen filelist-dingens, der system32 ordner sollte reichen. lg myrtille

04.07.2007, 23:07	#10
myrtille /// TB-Ausbilder	Log Hi, escan sieht sehr gut aus. Den Ordner "Vundofix Backups" hätte man eh löschen sollen, das hatte ich vergessen sry. Die beiden andern Einträge sind Fehlalarme. (Es kann gut sein, dass du dne Haken nicht mehr setzen kann. Die Anleitung ist, wie du vllt gemerkt hast, nicht up to date) lg myrtille

04.07.2007, 23:18	#12
myrtille /// TB-Ausbilder	Log Ich denke das wars dann. Wenn sonst keine Probleme bestehen, kannste den Rest des Abends ja doch noch genießen. Oder schlafen gehen, was wahrscheinlich die gesündere Variante wär. lg myrtille