Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten

mad2000 · 22.07.2007, 03:11

Hallo!
Wie einige andere habe ich auch das lästige Problem, dass - trotzdem der Mozilla Firefox mein Standardbrowser ist - der Internet Explorer sich öffnet und so nervige Seiten wie cpvfeed.com, partypoker, abc search etc. angezeigt werden.

Nun wende ich mich genervt, hilflos und verzweifelt an euch:
1.) Wie kann ich dem ein Ende bereiten?
2.) Wie kommt so etwas (ein Trojanisches Pferd?) denn überhaupt auf meinen Rechner?

Also, vielen Dank für eure Hilfe, ich warte auf eure Instruktionen

Allerdings kenne ich mich pc-technisch nicht wirklich aus...

Danke trotzdem,
ein verzweifelter Martin

BataAlexander · 22.07.2007, 03:21

poste mal ein HJT Logfile, das Programm bekommst Du hier.
Bata

mad2000 · 22.07.2007, 12:29

Logfile of HijackThis v1.99.1
Scan saved at 13:27:20, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\VisualTooltip\VisualToolTip.exe
C:\WINDOWS\retadpu2000352.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\WinTouch\WinTouch.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\nvvdj.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\WinPop\winpop.exe
C:\Programme\Words\Words.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://***.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.windowsxlive.net
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D2933202228B2B092EAD1B90C8EF456B4CEF4731119553B686D276527799385672FA14 E1DCD66A47
O4 - HKLM\..\Run: [WinTouch] C:\Programme\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [SfKg6w] C:\WINDOWS\nvvdj.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WinPop] C:\Programme\WinPop\winpop.exe
O4 - HKCU\..\Run: [Words] C:\Programme\Words\Words.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://***.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://***.aldi.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Mobius07 · 22.07.2007, 13:01

Lass diese Dateien bei Virustotal überprüfen:
VirusTotal - Free Online Virus and Malware Scan , sollte der Server nicht funtzen, dann bei Jotti: Online malware scan
(Datei ins weisse Fensterchen kopieren, auf "send/submit" klicken. Komplettes Ergebnis posten
C:\WINDOWS\retadpu2000352.exe
C:\WINDOWS\nvvdj.exe
Desweiteren hast Du auch so noch einige unbekannte Programme am laufen.
Hast Du eigentl. eine Firewall ? Hab jetzt im ersten Überflug keine finden können.

Den gleichnamigen 04-er Eintrag mit dem Zahlengewirr erst einmal nicht fixen weil dieser direkt unter Windows läuft. Gucken erst einmal was der scan bringt.
Lade Dir noch zusätzlich nützliche Progs wie Spybot und ad-aware herunter:
Die Seite von Spybot-S&D!
Ad-aware - Download
Updaten und scannen lassen!

BataAlexander · 22.07.2007, 13:43

Je mehr ich mir Dein Log ansehen, desto mehr will ich Dir raten den Rechner neu zu installieren.

Aber wir können es ja mal versuchen.

die folgenden Dateien mal bei VirusTotal - Free Online Virus and Malware Scan scannen lassen und das Ergebnis hier posten.

C:\WINDOWS\nvvdj.exe
C:\WINDOWS\retadpu2000352.exe

Dann die Dateien

C:\WINDOWS\retadpu2000352.exe
C:\Programme\WinTouch\WinTouch.exe
C:\WINDOWS\nvvdj.exe
C:\Programme\WinPop\winpop.exe
C:\Programme\Words\Words.exe

löschen (Killbox verwenden)

Jetzt mit HJT im abgesicherten Modus diese Einträge fixen:

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D2933202228B2B092EAD1B90C8EF456B4CEF4731119553B686D276527799385672FA14 E1DCD66A47
O4 - HKLM\..\Run: [WinTouch] C:\Programme\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [SfKg6w] C:\WINDOWS\nvvdj.exe
O4 - HKCU\..\Run: [WinPop] C:\Programme\WinPop\winpop.exe
O4 - HKCU\..\Run: [Words] C:\Programme\Words\Words.exe

Neu booten, neues HJT Log hier posten.

Bata

mad2000 · 22.07.2007, 14:24

OK, Virustotal sagt mir zu nvvdj.exe:
0 bytes size received / Se ha recibido un archivo vacio

und virusscan.jotti.org sagt mir dazu:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

und zu retadpu2000352.exe sagt Virustotal folgendes:

File retadpu2000352.exe received on 07.22.2007 15:16:39 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.22 Win32:Agent-HKJ
AVG 7.5.0.476 2007.07.21 Downloader.Agent.NLE
BitDefender 7.2 2007.07.22 no virus found
CAT-QuickHeal 9.00 2007.07.20 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.22 no virus found
DrWeb 4.33 2007.07.22 no virus found
eSafe 7.0.15.0 2007.07.19 suspicious Trojan/Worm
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.22 Downloader.Agent.bls
FileAdvisor 1 2007.07.22 no virus found
Fortinet 2.91.0.0 2007.07.22 W32/Agent.BLS!tr.dldr
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.22 Trojan-Downloader.Win32.Agent.bls
Ikarus T3.1.1.8 2007.07.22 Trojan-Downloader.Win32.Agent.bls
Kaspersky 4.0.2.24 2007.07.22 Trojan-Downloader.Win32.Agent.bls
McAfee 5079 2007.07.20 Downloader-BCF
Microsoft 1.2704 2007.07.22 BrowserModifier:Win32/Matcash
NOD32v2 2411 2007.07.21 a variant of Win32/TrojanDownloader.Agent.BLS
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.22 Suspicious file
Sophos 4.19.0 2007.07.17 Mal/HckPk-D
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.22 no virus found
TheHacker 6.1.7.151 2007.07.22 Trojan/Downloader.Agent.bls
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 Trojan.DL.Agent.UJX
Webwasher-Gateway 6.0.1 2007.07.22 Trojan.Crypt.ULPM.Gen
Additional information
File size: 39424 bytes
MD5: 29a2d4fbc59484ceacfde797dd437156
SHA1: c69f0a8bb729879cc5962ab608871c16fd2050ce
packers: UPX
packers: UPX
packers: UPX

BataAlexander · 22.07.2007, 14:34

Gehe zu dem Ordner C:\WINDOWS\
Suche dort die nvvdj.exe
Kopiere sie auf das Desktop
Bennen sie um, z.b. in Virus.exe
Lade die Virus.exe bei Virustotal hoch und lasse diese Auswerten!
Poste auch hier das gesamte Ergebnis!
Danach die Datei wieder löschen.

Ansonsten vorgehen, wie beschrieben

Bata

mad2000 · 22.07.2007, 15:06

Ich hatte die Datei nvvdj.exe nachdem es bei den Online-Virenscans nicht geklappt hat mittels Killbox gelöscht...
Aber den Rest eurer Tipps habe ich soweit befolgt, hier mein aktueller HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:03:18, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\VisualTooltip\VisualToolTip.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.windowsxlive.net
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://w*w.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://w*w.aldi.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

BataAlexander · 22.07.2007, 15:42

Was machen die Probleme?
Update Deine AV PRogramm, führe einen Systemscan aus und poste das Ergebniss hier.

Bata

mad2000 · 22.07.2007, 21:17

Es öffneten sich immernoch die IE-Fenster. Dann mal AntiVir drüberlaufen lassen... Hoffentlich ist es nun weg...

Logfile von AntiVir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 22. Juli 2007 19:48

Es wird nach 740715 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Martin
Computername: MAD

Versionsinformationen:
BUILD.DAT : 248 14437 Bytes 31.05.2007 16:56:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:09:01
ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12.04.2007 13:09:02
ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16.04.2007 13:09:02
AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13.04.2007 13:04:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27.03.2007 07:48:28
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 22. Juli 2007 19:48

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mRouterRuntime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkCalRem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSTMON_N.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VetTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VetMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogWatNT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iSafe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '56' Prozesse mit '56' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '34' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\uusee\bak_UUSeePlayer.exe
[FUND] Enthält Signatur des SPR/Dldr.MTW.4-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 470ead27.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Programme\uusee\uninst.exe
[FUND] Enthält Signatur des SPR/Dldr.MTW.3-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 470cad38.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\closeapp.exe
[FUND] Enthält Signatur der Anwendung APPL/CloseApp
[INFO] Eine Sicherungskopie wurde unter dem Namen 4712b4ae.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\core.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <BACKUP>
D:\Mp3s\Hörbücher\CloneCD.v5.0.4.2.WinALL.Multilanguage-TBE.rar
[0] Archivtyp: RAR
--> tbec5042.zip
[1] Archivtyp: ZIP
--> crack.zip
[2] Archivtyp: ZIP
--> regkey.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/FSG). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Eine Sicherungskopie wurde unter dem Namen 4712b9f2.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Ende des Suchlaufs: Sonntag, 22. Juli 2007 22:12
Benötigte Zeit: 2:24:41 min

Der Suchlauf wurde vollständig durchgeführt.

7961 Verzeichnisse wurden überprüft
280075 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
280071 Dateien ohne Befall
6937 Archive wurden durchsucht
3 Warnungen
6 Hinweise
0 Versteckte Objekte wurden gefunden

Logfile von HJT:
Logfile of HijackThis v1.99.1
Scan saved at 22:16:38, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\MSTMON_N.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Martin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\isafe.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

BataAlexander · 22.07.2007, 21:23

Lade Dir Combofix führe es aus und poste dann das Logfile hier.

Bata

mad2000 · 23.07.2007, 08:10

Combofix sagt:

"*****" - 2007-07-23 1:36:50 - ComboFix 07-07-17.8 - Service Pack 2 NTFS

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\vxbay.ini
C:\WINDOWS\system32\vxbay.ini2
C:\WINDOWS\system32\vxbay.tmp
C:\WINDOWS\system32\tuvvvsp.dll
C:\WINDOWS\system32\yabxv.dll
C:\WINDOWS\system32\tuvvvsp.dll

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\DOKUME~1\ALLUSE~1\STARTM~1.\UUSEE~1.LNK
C:\Programme\uusee
C:\Programme\uusee\AD\1\000\index.html
C:\Programme\uusee\AD\1\001\index.html
C:\Programme\uusee\AD\1\100\ad.swf
C:\Programme\uusee\AD\1\100\index.html
C:\Programme\uusee\AD\1\dm\dm.html
C:\Programme\uusee\AD\1\yx\yx.html
C:\Programme\uusee\AD\2\000\index.html
C:\Programme\uusee\AD\UUAD_Banner.html
C:\Programme\uusee\AD\UUAD_Banner.swf
C:\Programme\uusee\bak_UUPlayer.dll
C:\Programme\uusee\UUPlayer.dll
C:\Programme\uusee\UUPlayer.skn
C:\Programme\uusee\UUSeePlayer.exe
C:\Programme\uusee\vermini.ini.uuuu.dat
C:\Programme\winpop
C:\Programme\wintouch
C:\Programme\wintouch\wintouch.cfg
C:\Programme\wintouch\WTUninstaller.exe
C:\temp\tn3
C:\WINDOWS\b136.exe
C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys
C:\WINDOWS\system32\wnstsisv.exe
C:\WINDOWS\wr.txt
C:\WINDOWS\ymante~1

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_CORE
-------\core

((((((((((((((((((((((((( Files Created from 2007-06-22 to 2007-07-22 )))))))))))))))))))))))))))))))

2007-07-23 01:34 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-22 18:55 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-07-22 16:14 <DIR> d-------- C:\Programme\Lavasoft
2007-07-22 16:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-07-22 16:10 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-07-22 15:25 <DIR> d-------- C:\!KillBox
2007-07-22 13:56 <DIR> d-------- C:\Programme\ICQ6
2007-07-22 13:56 <DIR> d-------- C:\DOKUME~1\******\ANWEND~1\ICQ
2007-07-22 13:55 <DIR> d-------- C:\DOKUME~1\******\ANWEND~1\InstallShield
2007-07-18 12:40 <DIR> d-------- C:\DOKUME~1\******\ANWEND~1\Media Player Classic
2007-07-17 23:10 740,442 --a------ C:\WINDOWS\system32\divx.dll
2007-07-17 23:10 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-17 23:10 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-17 23:10 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-07-17 23:10 10,752 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-07-17 23:10 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2007-07-15 15:38 <DIR> d-------- C:\Programme\Intelore
2007-07-15 00:55 <DIR> d-------- C:\Programme\Words
2007-07-10 20:21 73,728 --a------ C:\WINDOWS\b143.exe
2007-06-24 16:11 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-22 14:13:18 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-22 11:58:24 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-22 11:58:14 -------- d-----w C:\Programme\ICQLite
2007-07-22 00:11:08 49,792 ----a-w C:\DOKUME~1\******\ANWEND~1\wklnhst.dat
2007-07-20 18:46:29 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-07-20 11:06:20 -------- d-----w C:\DOKUME~1\******\ANWEND~1\Skype
2007-07-19 22:09:23 -------- d-----w C:\Programme\eMule
2007-07-17 21:09:40 -------- d-----w C:\Programme\DivX
2007-06-24 16:18:31 -------- d-----w C:\DOKUME~1\******\ANWEND~1\LimeWire
2007-06-14 19:42:30 -------- d-----w C:\Programme\WMR11
2007-06-08 12:10:09 -------- d-----w C:\Programme\Yahoo!
2007-06-08 12:08:14 -------- d-----w C:\Programme\Biet-O-Matic
2007-06-08 12:03:58 -------- d-----w C:\DOKUME~1\******\ANWEND~1\Leadertech
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-05-23 00:00:20 -------- d-----w C:\Programme\Aqua Dock
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-14 21:39:11 65,045 ----a-w C:\WINDOWS\b138.exe
2007-04-29 10:50:06 75,096 ----a-w C:\DOKUME~1\******\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-04-28 12:54:36 593,920 ----a-w C:\WINDOWS\system32\xvidcore.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2004-11-05 08:47:20 8 --sh--r C:\WINDOWS\system32\18F1AB3FF0.sys
2006-09-01 20:17:46 11,270 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\Programme\Spybot - Search & Destroy\SDHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2005-11-10 13:22 184423 --a------ C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
2004-12-02 14:59 720896 -ra------ c:\programme\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
2004-12-14 02:13 225280 --a------ C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 14:00 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-09-15 12:18]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-09-15 12:18]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 18:19 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-06 22:10]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 02:08]
"VetTray"="C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe" [2004-04-19 16:16]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
"Openwares LiveUpdate"="C:\Program Files\LiveUpdate\LiveUpdate.exe" [2003-12-13 19:17]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 C:\WINDOWS\system32\bthprops.cpl]
"@"="" []
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"VisualTooltip"="C:\Programme\VisualTooltip\VisualToolTip.exe" [2006-10-06 10:21]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2007-05-03 17:43]
"@"="" []
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

C:\DOKUME~1\******\STARTM~1\PROGRA~1\AUTOST~1
Rainlendar.lnk - C:\Programme\Rainlendar\Rainlendar.exe [2006-01-21 14:31:46]
wkcalrem.LNK - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2004-07-12 03:54:26]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-10-21 20:07:10]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"LClock"=C:\Programme\LClock\LClock.exe
"Vista Sidebar"=C:\Programme\Vista Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp

Contents of the 'Scheduled Tasks' folder
2007-06-22 15:22:40 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-07-20 14:44:05 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.1040 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2007-07-23 09:04:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 9:06:51 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-23 09:06

--- E O F ---

BataAlexander · 23.07.2007, 10:30

Folgende Ordner löschen, mit allen Inhalten!

C:\Programme\Intelore
C:\Programme\Words
C:\Programme\eMule
C:\DOKUME~1\******\ANWEND~1\LimeWire

Diese Dateien bei VirusTotal - Free Online Virus and Malware Scan scannen lassen. Die Ergebnisse hier posten.

C:\WINDOWS\b143.exe
C:\WINDOWS\system32\18F1AB3FF0.sys

Bata

mad2000 · 23.07.2007, 21:08

C:\WINDOWS\system32\18F1AB3FF0.sys

Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 no virus found
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 no virus found
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.23 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
Additional information
File size: 8 bytes
MD5: ba898b29f0dbf9307f494475a8393f03
SHA1: 697fd89eba4c1d12a53190666508b9aa503bf7e9

---

C:\WINDOWS\b143.exe

Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 no virus found
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 no virus found
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.23 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
Additional information
File size: 73728 bytes
MD5: 01773f143a9a28c64e0148f26d989868
SHA1: c13cb780d246cd2b27f00d4ef11d9f2d09079bdf

Arion · 23.07.2007, 21:25

Man konnte Emule und Limewire auch über Systemsteuerung -> Software löschen...

Wär sicherer, dass alle Reste weg sind.

22.07.2007, 03:21	#2
BataAlexander > MalwareDB	Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten poste mal ein HJT Logfile, das Programm bekommst Du hier. Bata __________________

22.07.2007, 21:23	#11
BataAlexander > MalwareDB	Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten Lade Dir Combofix führe es aus und poste dann das Logfile hier. Bata __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten

Plagegeister aller Art und deren Bekämpfung: Internet Explorer öffnet sich dauernd automatisch mit ungewollten Inhalten