.....mit folgenden Dingen:


DrWeb 4.33 2007.07.18 Trojan.Virtumod
AntiVir 7.4.0.42 2007.07.18 TR/Mon.Virtumonde.IH
eSafe 7.0.15.0 2007.07.17 Suspicious Trojan/Worm
Ikarus T3.1.1.8 2007.07.18 Win32.Rigel.6468
Panda 9.0.0.4 2007.07.17 Suspicious file
Sophos 4.19.0 2007.07.17 Virtumundo
Sunbelt 2.2.907.0 2007.07.18 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.07.18 Trojan.Mon.Virtumonde.IH

Wie zu sehen ist, hab ich bereits bei Virustotal eine Überprüfung des Ganzen durchgeführt und die o.g. Ergebnisse kamen dabei raus...

Mit HJT hab ich dann folgendes LgFile erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:36, on 18.07.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ATI Technologies\Fire GL Control Panel\atiisrgl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\PDFCreatorMessages.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Cypheus\Cypheus.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PVSW\Bin\W3DBSMGR.EXE
C:\Programme\Hardcopy\hardcopy.exe
P:\HSKa\BWWIN32.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Opera\Opera.exe
C:\WINNT\explorer.exe
D:\HiJackThis\pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://mall.automation.siemens.com/DE/guest/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = server.hsk-gmbh.de:80
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {351AEF5B-B32B-4517-A571-E36C588B74A1} - C:\WINNT\system32\ddabb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {941508F8-CCD9-44E0-AC29-4F1E141373F7} - C:\WINNT\system32\nnnmjkl.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [FRYHIGHRES] rundll32 "C:\Programme\ATI Technologies\Fire GL Control Panel\atipmogl.dll",DetectHighResMonitor
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Cypheus] C:\Programme\Cypheus\Cypheus.exe StartRun
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: MOUNT_Z.lnk = C:\Bat_Dateien\MOUNT_Z.BAT
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Pervasive.SQL Workstation Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{187F44A6-94E1-4736-A725-FFCFF191D450}: NameServer = 192.168.1.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{187F44A6-94E1-4736-A725-FFCFF191D450}: NameServer = 192.168.1.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{187F44A6-94E1-4736-A725-FFCFF191D450}: NameServer = 192.168.1.10
O20 - Winlogon Notify: ddabb - C:\WINNT\system32\ddabb.dll
O20 - Winlogon Notify: nnnmjkl - C:\WINNT\
O20 - Winlogon Notify: winmbj32 - winmbj32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Programme\ATI Technologies\Fire GL Control Panel\atiisrgl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINNT\system32\PDFCreatorMessages.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 6856 bytes

Da ich nicht unbedingt ein Belesener bin, sondern nur "User", so möchte gerne Eure Hilfe in Anspruch nehmen.
Könnt Ihr mir bei meinem Problem helfen??

Schon mal vielen vielen Dank, dass ihr soweit gelesen habt.
Gruß Wolfgang

...... und hab doch noch Hilfe gefunden...

Mit dem Tool Vundo hab ich da einiges auf meinem Rechner gefunden und entfernen können...

Kann ich trotz des Tools was vergessen haben??

Zitat:

O20 - Winlogon Notify: winmbj32 - winmbj32.dll (file missing)

Zitat:

O20 - Winlogon Notify: nnnmjkl - C:\WINNT\

Zitat:

O2 - BHO: (no name) - {941508F8-CCD9-44E0-AC29-4F1E141373F7} - C:\WINNT\system32\nnnmjkl.dll (file missing)

FIXEN!

Lass dein System im abgesicherten Modus mal mit AV scannen und poste dannach nochmals ein HJT-Logfile zur Auswertung.



LG, Terayaki

Hi,
erstelle bitte auch noch ein filelistaufstellung:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung (und [Gc]Sunny, dem ich die Anleitung geklaut habe)*

lg myrtille

So, ich hoffe ich hab alles richtig gemacht:

Im abgesicherten Modus hat Kapersky u.ä. nichts gefunden.

Ich hab die Files gefixt.

Hier die (hoffentlich richtigen) LogFiles ect. :

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 4036-A21F

Verzeichnis von C:\

18.07.2007 12:08 1.598.029.824 pagefile.sys
18.07.2007 12:06 1.192 VundoFix.txt


----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 4036-A21F

Verzeichnis von C:\WINNT\system32

12.01.2016 07:02 28.160 PortmonHelper.exe
18.07.2007 13:28 3.359.589 ClearFax Port
18.07.2007 12:10 16.384 Perflib_Perfdata_630.dat
18.07.2007 12:10 16.384 Perflib_Perfdata_5d4.dat
18.07.2007 12:10 16.384 Perflib_Perfdata_354.dat
18.07.2007 11:51 16.384 Perflib_Perfdata_65c.dat
18.07.2007 11:51 16.384 Perflib_Perfdata_594.dat
18.07.2007 11:51 16.384 Perflib_Perfdata_308.dat
18.07.2007 11:49 396.752 FNTCACHE.DAT
16.07.2007 15:33 16.384 Perflib_Perfdata_200.dat
04.07.2007 10:04 5.852 KGyGaAvL.sys


----- no Prefetch dir ------------------

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 4036-A21F

Verzeichnis von C:\WINNT

18.07.2007 13:28 4.618 alttiff.log
18.07.2007 13:15 199.079 pvsw.log
18.07.2007 13:12 9.863 kawan8.xlb
18.07.2007 13:11 245 MSIOSD.INI
18.07.2007 12:10 1.097.365 setupapi.log
18.07.2007 12:09 1.739.454 WindowsUpdate.log
18.07.2007 12:08 32.590 SchedLgU.Txt
18.07.2007 10:47 5.631 dsetupm_log.txt
18.07.2007 10:46 926 dsetupu_log.txt
17.07.2007 15:44 78.932 ntbtlog.txt
17.07.2007 14:31 0 Irremote.ini
16.07.2007 13:56 133.100 AdvPack.log
13.07.2007 10:58 451.552 comsetup.log
13.07.2007 10:58 1.081.802 iis5.log
13.07.2007 10:58 1.410 imsins.log
13.07.2007 10:58 16.974 KB926122.log
13.07.2007 10:58 30.967 ockodak.log
13.07.2007 10:58 409.517 ocgen.log
13.07.2007 10:57 173.754 updspapi.log
13.07.2007 07:25 116 NeroDigital.ini
13.07.2007 07:17 335.185 wmsetup.log
10.07.2007 13:40 1.563.766 DPINST.LOG
09.07.2007 15:25 1.286.182 ShellIconCache
05.07.2007 08:04 8.192 buechner.pcb
03.07.2007 11:21 20.480 offitems.log
19.06.2007 12:57 1.410 imsins.BAK
19.06.2007 12:57 24.508 KB935839.log
19.06.2007 12:56 23.481 KB935840.log
19.06.2007 12:56 14.273 KB933566-IE6SP1-20070417.120000.log
19.06.2007 12:56 19.035 KB927891.log
19.06.2007 12:56 24.409 MDAC28SP1-KB927779-x86-DEU.log
19.06.2007 12:55 16.687 KB932168.log
19.06.2007 12:55 16.843 KB931784.log
19.06.2007 12:55 16.038 KB930178.log
19.06.2007 12:55 15.983 KB925902.log
19.06.2007 12:55 13.773 KB926436.log
19.06.2007 12:55 13.609 KB918118.log
19.06.2007 12:55 13.620 KB924667.log
19.06.2007 12:55 12.318 KB928843.log


----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 4036-A21F

Verzeichnis von C:\WINNT\tasks

18.07.2007 12:09 6 SA.DAT
24.07.2002 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 1.566.433.280 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 4036-A21F

Verzeichnis von C:\WINNT\temp

18.07.2007 13:47 8.192 cch~4f0a6dff0.htp
18.07.2007 13:47 8.192 cch~4f0a6da65.htp
18.07.2007 12:36 92.244 tmp32D.tmp
18.07.2007 12:14 92.244 tmp286.tmp
17.07.2007 14:53 0 Upd416.tmp
17.07.2007 14:47 0 Upd20A.tmp
17.07.2007 14:44 0 Upd2.tmp
16.07.2007 07:45 0 Upd109.tmp
16.07.2007 07:17 0 Upd1.tmp
13.07.2007 10:58 5.953 NetFxUpdate_v1.1.4322.log
06.10.2006 15:30 28.672 OLD661.tmp
05.10.2006 14:41 73.728 OLD663.tmp
05.10.2006 14:41 73.728 OLD679.tmp
03.10.2006 15:06 12.288 OLD67B.tmp
03.10.2006 15:06 12.288 OLD665.tmp
02.10.2006 12:57 16.084 OLD667.tmp
02.10.2006 12:57 16.084 OLD67D.tmp
22.09.2006 03:30 61.440 OLD65F.tmp
22.09.2006 03:30 61.440 OLD675.tmp
19 Datei(en) 562.577 Bytes
0 Verzeichnis(se), 1.566.433.280 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 4036-A21F

Verzeichnis von C:\DOKUME~1\buechner\LOKALE~1\Temp

18.07.2007 13:48 138.993 filelist.txt
18.07.2007 13:21 219 TWAIN.LOG
18.07.2007 13:21 156 Twunk001.MTX
18.07.2007 13:21 2 Twain001.Mtx
18.07.2007 13:21 0 Twunk002.MTX
18.07.2007 12:15 692 jusched.log
18.07.2007 12:10 16.384 ~DFDFDE.tmp
18.07.2007 12:05 16.384 ~DFD34E.tmp
18.07.2007 12:02 32.768 ~DFB9ED.tmp
18.07.2007 11:51 16.384 ~DF2C11.tmp
18.07.2007 09:53 114.688 ~DFD79B.tmp
18.07.2007 09:04 11.832 cur547.tmp
18.07.2007 08:37 437.748 1.DTA
18.07.2007 06:57 16.384 ~DFD15A.tmp
17.07.2007 15:56 3.164.802 kl-install-2007-07-17-15-54-58.log
17.07.2007 15:56 171.895 caevents.log
17.07.2007 15:55 732 KLeaner.log
17.07.2007 15:42 10.134 dat44E.tmp
17.07.2007 15:23 123 1036.DTA
17.07.2007 14:57 66.560 itpyejhj.dll
20 Datei(en) 4.216.880 Bytes
0 Verzeichnis(se), 1.566.367.744 Bytes frei

und weil es so schön war noch dies:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:22, on 18.07.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ATI Technologies\Fire GL Control Panel\atiisrgl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\PDFCreatorMessages.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Cypheus\Cypheus.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PVSW\Bin\W3DBSMGR.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINNT\System32\SCardSvr.exe
P:\HSKa\BWWIN32.exe
C:\Programme\Opera\Opera.exe
D:\HiJackThis\pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://mall.automation.siemens.com/DE/guest/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = server.hsk-gmbh.de:80
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {F0694AAF-1C5E-47DC-A825-1465DC4D7BD7} - C:\WINNT\system32\ddabb.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Programme\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [FRYHIGHRES] rundll32 "C:\Programme\ATI Technologies\Fire GL Control Panel\atipmogl.dll",DetectHighResMonitor
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [Cypheus] C:\Programme\Cypheus\Cypheus.exe StartRun
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: MOUNT_Z.lnk = C:\Bat_Dateien\MOUNT_Z.BAT
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Pervasive.SQL Workstation Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{187F44A6-94E1-4736-A725-FFCFF191D450}: NameServer = 192.168.1.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{187F44A6-94E1-4736-A725-FFCFF191D450}: NameServer = 192.168.1.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{187F44A6-94E1-4736-A725-FFCFF191D450}: NameServer = 192.168.1.10
O20 - Winlogon Notify: winmbj32 - winmbj32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FGLRYUTIL (FGLRYUtil) - ATI Technologies, Inc. - C:\Programme\ATI Technologies\Fire GL Control Panel\atiisrgl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINNT\system32\PDFCreatorMessages.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Programme\TightVNC\WinVNC.exe

--
End of file - 6690 bytes


In der guten Hoffnung nichts vergessen zu haben, vielen Dank schon mal für die Tipps!! :aplaus: :aplaus:

Bitte folgende Dateien bei virustotal auswerten lassen:

Zitat:

Zitat von wosaka

Verzeichnis von C:\WINNT\system32
12.01.2016 07:02 28.160 PortmonHelper.exe
18.07.2007 13:28 3.359.589 ClearFax Port

und

Zitat:

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

Fixe dann noch folgende Einträge bei Hijackthis:

Zitat:

O2 - BHO: (no name) - {F0694AAF-1C5E-47DC-A825-1465DC4D7BD7} - C:\WINNT\system32\ddabb.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

und poste bitte noch den Inhalt von C:\vundofix.txt

Ansonsten siehts gut aus

lg myrtille

[QUOTE=myrtille;280792]Bitte folgende Dateien bei virustotal auswerten lassen:

Authentium 4.93.8 2007.07.18 could be a corrupted executable file für die Portmon.exe

ClearFax Port ist unser Faxprog... nichts gefunden...


Fixe dann noch folgende Einträge bei Hijackthis:
gefixt...

und poste bitte noch den Inhalt von C:\vundofix.txt
VundoFix V6.5.6

Checking Java version...

Sun Java not detected
Scan started at 12:02:07 18.07.2007

Listing files found while scanning....

C:\WINNT\system32\bbadd.bak1
C:\WINNT\system32\bbadd.bak2
C:\WINNT\system32\bbadd.ini
C:\WINNT\system32\bbadd.ini2
C:\WINNT\system32\bbadd.tmp
C:\WINNT\system32\ddabb.dll

Beginning removal...

Attempting to delete C:\WINNT\system32\bbadd.bak1
C:\WINNT\system32\bbadd.bak1 Has been deleted!

Attempting to delete C:\WINNT\system32\bbadd.bak2
C:\WINNT\system32\bbadd.bak2 Has been deleted!

Attempting to delete C:\WINNT\system32\bbadd.ini
C:\WINNT\system32\bbadd.ini Has been deleted!

Attempting to delete C:\WINNT\system32\bbadd.ini2
C:\WINNT\system32\bbadd.ini2 Has been deleted!

Attempting to delete C:\WINNT\system32\bbadd.tmp
C:\WINNT\system32\bbadd.tmp Has been deleted!

Attempting to delete C:\WINNT\system32\ddabb.dll
C:\WINNT\system32\ddabb.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.6

Checking Java version...

Sun Java not detected
Scan started at 12:06:16 18.07.2007

Listing files found while scanning....

No infected files were found.


Hm.... ich hege Zweifel, ob ich nu alles hinbekommen hab...

Wenn das der einzige Fund für den Portmon war, dürftest du sauber sein. :sauber:
Oder hast du immer nur das erste Ergebnis abgewartet?

Was sagte Virustotal zu dieser Datei:

Zitat:

C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe

Ich glaub zwar nicht das es wirklich bösartig ist, aber Kontrolle ist schließlich besser.

lg myrtlle

Zitat:

Zitat von myrtille

Wenn das der einzige Fund für den Portmon war, dürftest du sauber sein. :sauber:
Oder hast du immer nur das erste Ergebnis abgewartet?

LOL, nene, ich schon artig gewartet, bis zum bitteren Ende...

Und das File st auch sauber!!!!


Vielen Vielen Dank!!!!!

Dann hast du Vundo besiegt und wahrscheinlich niemand anderen an Bord!

lg myrtille

... ich werd Euch in jedem Falle weiter empfehlen!!!!!!:aplaus: :aplaus: