Hallo,
seit ca. 2 Tagen öffent mein Explorer von Zeit zu Zeit verschieden Internetseiten mit Werbung. Ausserdem erscheinen Warnmeldungen auf angebliche Sicherheitslücken und Downloads.
Hab auch schon Hijack laufen lassen, komme aber nicht so ganz zurecht.
Vielleicht kann mir hier jemand helfen.
Den Log mal im Text:
Logfile of HijackThis v1.99.1
Scan saved at 15:51:08, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
G:\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
G:\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Volker\Lokale Einstellungen\Temp\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = G:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://G:\LeechGet 2004\\Parser.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

Würde mich über Hilfe sehr freuen, weil ich vor wenigen Tagen erst mein System in stundenlanger Arbeit neu installiert habe.


Danke

Hallöle du Schaafskopf..


Update deinen I.Net Explorer auf die neueste Version 7.0 (auch wenn du ihn nicht benutzt.. ^^)

Da im HJ nichts auffällig ist müssen wir weiter ausholen..

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Lasse Blacklight sowie Silentrunners laufen und poste die logFiles..

-Run Combofix. Poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

Mal gucken was bei dir so los ist..

lg

Undoreal

Hallo,

zunächst mal danke für die Antwort.
Das sieht mir aber nach mehr Aufwand aus um mal schnell zwischendurch erledigt zu werden.
Sobald ich die Log vorliegen habe, poste ich die mal.
Hab mit aber mal alternativ Firefox geladen und dort tritt das bisher noch nicht auf.....wenn das so bleibt, dann goodbye IE.

Danke nochmals vorab.

Hallo,

das fängt ja Klasse an. Java hab ich nicht in der Softwareliste meiner Systemsteuerung. Ich finde auch keinen Hinweis wie ich Java sonst deinstallieren kann.
Kann ich das ganze auch ohne die Deinstallation laufen lassen?

Danke für die Hilfe

Hallo

lass Java mal beiseite für den Augenblick und erstelle bitte ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

MFG

Hallo,

kann es sein das Combofix ewig läuft?
Hier mal der Log vom umbenannten Hijack. Sieht für mich nicht viel anders aus
Logfile of HijackThis v1.99.1
Scan saved at 20:59, on 2007-07-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\ComboFix\catchme.cfexe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
G:\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
I:\Hijakdir\Test.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\lvmtgbho.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = G:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://G:\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

Hallo

mach bitte alle versteckten Dateien und Ordner sichtbar und suche diese Datei :

C:\WINDOWS\system32\lvmtgbho.dll

lass die Datei(en) hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo,

ich habe mittlerweile ca. 3 Stunden mit Scans und Prüfungen verbracht.
Soweit mein VS angezeigt hat, habe ich 19 mal einen Win32 Trojaner an Bord gehabt
Abetear B
Secdrop Of
Secdrop OL
Darksmar!
jeweils Win32

Hier mal das Ergebnis von Virus Total von der dll Datei von mir.
Ich denke die ersten Einträge gehören nicht zu mir. Keine Ahnung wie ich das interpretieren kann.
Die sind bereinigt worden.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.27 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.27 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.27 -
CAT-QuickHeal 9.00 2007.07.26 -
ClamAV 0.91 2007.07.27 -
DrWeb 4.33 2007.07.27 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.24 Suspicious Trojan/Worm
eTrust-Vet 31.1.5008 2007.07.26 -
Ewido 4.0 2007.07.27 -
FileAdvisor 1 2007.07.27 -
Fortinet 2.91.0.0 2007.07.27 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.27 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.07.27 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.27 -
NOD32v2 2425 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.27 Suspicious file
Rising 19.33.42.00 2007.07.27 -
Prevx1 V2 2007.07.27 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.26 VIPRE.Suspicious
Symantec 10 2007.07.27 -
TheHacker 6.1.7.155 2007.07.27 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.27 -
Webwasher-Gateway 6.0.1 2007.07.27 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 69184 bytes
MD5: 92c829548274cb58ae1bfd724dfffc79
SHA1: 4555317b67eda6c10cd0fc2d0182546f64a1eef0
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Moin

Zitat:

ich habe mittlerweile ca. 3 Stunden mit Scans und Prüfungen verbracht.
Soweit mein VS angezeigt hat, habe ich 19 mal einen Win32 Trojaner an Bord gehabt
Abetear B
Secdrop Of
Secdrop OL
Darksmar!
jeweils Win32

Mit welchen Programmen hast du gescannt und welche Dateien sind dabei beanstandet worden?

Zitat:

Ich denke die ersten Einträge gehören nicht zu mir. Keine Ahnung wie ich das interpretieren kann.
Die sind bereinigt worden.

die sind bei Virustotal nur überprüft worden.

lade dir bitte von hier -->Vundofix

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Anschließend lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

MFG

Hallo,

also gescannt hab ich mit Blacklight, Silentrunner, Spybot und mit meinem Viernescanner e Trust Antivirus.
Der hat auch die Trojaner gefunden.
Hier die betroffenen Dateien mit zugehörigem Pfad:

C:\Dokumente undEinstellungen\Normal\LokaleEinstellungen\Temp\[B]akbjcndl.exe 2 018 1 2Win32/Abetear.B
C:\Dokumente und Einstellungen\Normal\LokaleEinstellungen\Temp\mpwhgyju.dll 2 018 1 2Win32/Darksma!generic
C:\Dokumente und Einstellungen\Normal\LokaleEinstellungen\Temp\mswickhg.exe 2 018 1 2Win32/Abetear.B
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\plijsglc.dll 2 018 1 2Win32/Darksma!generic
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RYU2IXI\kcehc_eicooc20070702[1] 2 018 1 2Win32/Secdrop.OF
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RYU2IXI\masiyxanidi[1] 2 018 1 2Win32/Abetear.B
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RYU2IXI\_jnvm[1] 2 018 1 2Win32/Darksma!generic
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUNNAXSK\adfcook[1] 2 018 1 2Win32/Secdrop.OC
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUNNAXSK\kcehc_eicooc20070702[1] 2 018 1 2Win32/Secdrop.OF
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUNNAXSK\masiyxanidi[1] 2 018 1 2Win32/Abetear.B
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUNNAXSK\_jnvm[1] 2 018 1 2Win32/Darksma!generic
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\adfcook[1] 2 018 1 2Win32/Secdrop.OC
C:\Dokumente und Einstellungen\Volker\Lokale Einstellungen\Temp\ixeinvxc.exe 2 018 1 2Win32/Abetear.B
C:\Dokumente und Einstellungen\Volker\Lokale Einstellungen\Temp\ngrrlbtu.dll 2 018 1 2Win32/Darksma!generic
C:\Dokumente und Einstellungen\Volker\LokaleEinstellungen\Temp\nsugdnci.exe 2 018 1 2Win32/Abetear.B
C:\Dokumente und Einstellungen\Volker\LokaleEinstellungen\Temp\ofvqhmsb.dll 2 018 1 2Win32/Darksma!generic
C:\Dokumente und Einstellungen\Volker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1WZFXGX2\kcehc_eicooc20070702[1] 2 018 1 2Win32/Secdrop.OF
C:\Dokumente und Einstellungen\Volker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\67DAOKKH\adfcook[1] 2 018 1 2Win32/Secdrop.OC
C:\Dokumente und Einstellungen\Volker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NJLTH51U\masiyxanidi[1] 2 018 1 2Win32/Abetear.B



Anschliessend hab ich noch mehrmals CCleaner die Reg säubern lassen.

Vundo hat mir kein File angezeigt und Remove hat nicht funktioniert.

Hier nun die Fileliste:


----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\

2007-07-28 18:33 43 filelist.txt
2007-07-28 18:33 5,323,811 wialog.txt
2007-07-28 18:31 234 VundoFix.txt
2007-07-28 18:21 1,609,797,632 pagefile.sys
2007-07-26 17:28 7,274 ICopy.log
2007-07-25 16:17 211 boot.ini
2007-07-22 14:57 146 YServer.txt
2007-07-21 00:11 2,018 moduleName.txt
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\WINDOWS

2007-07-28 18:33 300 setupact.log
2007-07-28 18:28 30,030 WindowsUpdate.log
2007-07-28 18:23 3,887 KB933566-IE7.log
2007-07-28 18:21 0 0.log
2007-07-28 18:21 159 wiadebug.log
2007-07-28 18:21 50 wiaservc.log
2007-07-28 18:21 2,048 bootstat.dat
2007-07-28 01:49 452 SchedLgU.Txt
2007-07-28 00:37 0 setuperr.log
2007-07-27 23:03 0 Sti_Trace.log
2007-07-26 21:11 1,112,690 setupapi.log.1.old
2007-07-26 20:46 116 NeroDigital.ini
2007-07-26 17:46 0 nsreg.dat
2007-07-25 16:17 583 win.ini
2007-07-25 16:17 227 system.ini
2007-07-24 17:31 98,304 system32CmdLineExt.dll
2007-07-23 17:27 403 ODBC.INI
2007-07-23 17:26 59 vbaddin.ini
2007-07-23 17:19 921 Recorder.reg
2007-07-20 22:04 92 CMISETUP.INI
2007-07-20 22:04 26 CMCDPLAY.INI
2007-07-20 22:04 0 Wininit.ini
2007-07-20 00:47 109,056 catchme.exe
2007-07-19 22:25 316,640 WMSysPr9.prx
2007-07-19 21:59 1,183,169 setupapi.log.0.old
2007-07-19 21:22 47 InoSetup.ini
2007-07-19 20:27 299,552 WMSysPrx.prx
2007-07-19 20:27 4,161 ODBCINST.INI
2007-07-19 20:26 749 WindowsShell.Manifest
2007-07-19 19:56 314,273 setupapi.old
2007-07-19 19:06 8,192 REGLOCS.OLD
2007-07-19 19:02 0 control.ini
2007-07-19 19:01 36 vb.ini
2007-06-17 00:11 51,200 nircmd.exe
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\WINDOWS\system

2007-07-27 23:32 784 CmiCnfg.ini
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\WINDOWS\system32

2007-07-27 20:15 1,248,656 wysipbac.ini
2007-07-27 19:22 69,184 lvmtgbho.dll
2007-07-27 19:21 2,206 wpa.dbl
2007-07-27 19:21 10,501 lvcoinst.log
2007-07-27 19:19 126,016 cabpisyw.dll
2007-07-27 19:17 1,248,525 whbqqssx.ini
2007-07-26 13:24 465 jjhcyewj.ini
2007-07-25 16:22 126,016 jweychjj.dll
2007-07-23 20:27 111,784 FNTCACHE.DAT
2007-07-22 18:39 279,552 swreg.exe
2007-07-20 16:31 380,960 perfh009.dat
2007-07-20 16:31 53,374 perfc009.dat
2007-07-20 16:31 64,190 perfc007.dat
2007-07-20 16:31 391,610 perfh007.dat
2007-07-20 16:31 900,682 PerfStringBackup.INI
2007-07-20 11:49 122,142 TZLog.log
2007-07-19 22:24 90 spupdwxp.log
2007-07-19 20:29 329 $winnt$.inf
2007-07-19 20:27 25,065 wmpscheme.xml
2007-07-19 20:27 23,392 nscompat.tlb
2007-07-19 20:27 16,832 amcompat.tlb
2007-07-19 20:26 488 logonui.exe.manifest
2007-07-19 20:26 488 WindowsLogon.manifest
2007-07-19 20:26 749 cdplayer.exe.manifest
2007-07-19 20:26 749 sapi.cpl.manifest
2007-07-19 20:26 749 nwc.cpl.manifest
2007-07-19 20:26 749 ncpa.cpl.manifest
2007-07-19 20:26 749 wuaucpl.cpl.manifest
2007-07-19 20:26 22,880 emptyregdb.dat
2007-07-19 19:59 0 h323log.txt
2007-07-19 19:02 2,951 CONFIG.NT
2007-06-29 21:05 520,192 ati2sgag.exe
2007-06-28 00:57 16,256,984 MRT.exe
2007-06-27 03:59 344,064 ATIDEMGX.dll
2007-06-27 03:58 269,312 ati2dvag.dll
2007-06-27 03:56 307,200 atiiiexx.dll
2007-06-27 03:51 143,360 atipdlxx.dll
2007-06-27 03:51 122,880 Oemdspif.dll
2007-06-27 03:51 26,112 Ati2mdxx.exe
2007-06-27 03:50 43,520 ati2edxx.dll
2007-06-27 03:50 118,784 ati2evxx.dll
2007-06-27 03:49 483,328 ati2evxx.exe
2007-06-27 03:48 53,248 ATIDDC.DLL
2007-06-27 03:44 8,232,960 atioglx2.dll
2007-06-27 03:41 2,940,992 ati3duag.dll
2007-06-27 03:31 1,519,744 ativvaxx.dll
2007-06-27 03:30 3,107,788 ativva5x.dat
2007-06-27 03:30 972,072 ativva6x.dat
2007-06-27 03:30 3,107,788 ativvaxx.dat
2007-06-27 03:19 5,435,392 atioglxx.dll
2007-06-27 03:17 266,240 atikvmag.dll
2007-06-27 03:16 17,408 atitvo32.dll
2007-06-27 03:14 176,128 atiok3x2.dll
2007-06-27 03:10 376,832 ati2cqag.dll
2007-06-05 19:40 149,278 atiicdxx.dat
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\WINDOWS\Prefetch

2007-07-28 18:33 12,208 FIND.EXE-10004366.pf
2007-07-28 18:33 12,138 CMD.EXE-08957B80.pf
2007-07-28 18:33 20,000 VERCLSID.EXE-06F691B1.pf
2007-07-28 18:33 89,088 CLEANMGR.EXE-0FB597DD.pf
2007-07-28 18:32 18,384 INODIST.EXE-199EAAE5.pf
2007-07-28 18:31 19,438 VUNDOFIX.EXE-2C91B10C.pf
2007-07-28 18:28 91,990 FIREFOX.EXE-17C6B11D.pf
2007-07-28 18:23 71,716 UPDATE.EXE-0A861764.pf
2007-07-28 18:22 65,042 WUAUCLT.EXE-2AF67AFA.pf
2007-07-28 18:22 900,756 NTOSBOOT-B00DFAAD.pf
2007-07-28 01:49 18,380 LOGONUI.EXE-19963CCF.pf
2007-07-28 01:38 37,586 WINRAR.EXE-2C2D944B.pf
2007-07-28 01:34 64,898 WMIPRVSE.EXE-1A20ED51.pf
2007-07-28 01:26 18,040 RUNDLL32.EXE-3B0F95B5.pf
2007-07-28 01:09 16,602 RUNDLL32.EXE-54F11571.pf
2007-07-28 00:38 34,060 RUNDLL32.EXE-244863A5.pf
2007-07-27 23:32 27,886 RUNDLL32.EXE-307ABF40.pf
2007-07-27 23:32 32,760 CONTROL.EXE-0D6653C3.pf
2007-07-27 23:32 22,162 SNDVOL32.EXE-13379C01.pf
2007-07-27 23:32 33,012 WOW.EXE-37E99544.pf
2007-07-27 23:31 96,268 LAUNCHER.EXE-05B9A7BB.pf
2007-07-27 23:23 26,618 CNMSM3M.EXE-364805E5.pf
2007-07-27 23:19 16,716 RUNDLL32.EXE-365D5247.pf
2007-07-27 23:15 148,982 IEXPLORE.EXE-008601F7.pf
2007-07-27 23:14 42,274 INOCIT.EXE-36D8383B.pf
2007-07-27 21:50 71,258 SPYBOTSD.EXE-334991F2.pf
2007-07-27 21:50 15,998 UPDATE.EXE-0785F046.pf
2007-07-27 21:48 18,418 IS-KDNN1.TMP-0B6F09FB.pf
2007-07-27 21:48 17,590 SPYBOTSD14.EXE-0632412E.pf
2007-07-27 21:48 25,720 AD-WATCH2007.EXE-208B6D8B.pf
2007-07-27 21:43 61,146 NOTEPAD.EXE-066C9B1A.pf
2007-07-27 21:28 29,412 INONMSRV.EXE-305499E8.pf
2007-07-27 21:13 68,484 RUNDLL32.EXE-482FDC96.pf
2007-07-27 21:06 30,962 AD-AWARE2007.EXE-2E2B448E.pf
2007-07-27 20:59 18,714 TEST.EXE-2E44B39D.pf
2007-07-27 20:49 372,086 Layout.ini
2007-07-27 20:21 19,368 WMIAPSRV.EXE-24F17E55.pf
2007-07-27 20:21 42,722 RUNDLL32.EXE-287E262A.pf
2007-07-27 20:21 37,592 COMMUNICATIONS_HELPER.EXE-1A6CE454.pf
2007-07-27 20:21 50,976 REALMON.EXE-2C19447C.pf
2007-07-27 20:21 16,494 PRISMSTA.EXE-12411431.pf
2007-07-27 20:21 91,928 CLI.EXE-01919455.pf
2007-07-27 20:21 22,874 KHALMNPR.EXE-15455284.pf
2007-07-27 20:18 17,052 SVCHOST.EXE-083A3FE3.pf
2007-07-27 20:14 33,526 WINZIP32.EXE-29C08256.pf
2007-07-27 19:42 21,270 REGEDIT.EXE-0C6CDE4A.pf
2007-07-27 19:31 57,434 EXPLORER.EXE-038805DF.pf
2007-07-27 19:27 48,536 KHALMNPR.EXE-096B8989.pf
2007-07-27 19:27 55,426 REGSVR32.EXE-176F510B.pf
2007-07-27 19:24 7,908 SPUPDSVC.EXE-29B8B794.pf
2007-07-27 19:17 36,988 ALG.EXE-20244201.pf
2007-07-27 19:17 23,792 LVCOMSER.EXE-2CE39710.pf
2007-07-26 17:31 23,158 IMAPI.EXE-18CC804D.pf
2007-07-26 16:57 28,956 DRWTSN32.EXE-1B79FFFB.pf
2007-07-26 16:57 42,934 DWWIN.EXE-337F5025.pf
2007-07-26 15:48 8,570 LVPRCSRV.EXE-3B5C25E5.pf
2007-07-26 14:56 45,778 MSIEXEC.EXE-0293D61F.pf
2007-07-26 14:38 25,206 SHMGRATE.EXE-0BD54BB7.pf
58 Datei(en) 3,425,280 Bytes
0 Verzeichnis(se), 10,821,681,152 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\WINDOWS\tasks

2007-07-28 18:21 6 SA.DAT
2003-04-02 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 10,821,681,152 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\WINDOWS


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C26-DE91

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

2007-07-28 18:21 16,384 Perflib_Perfdata_c30.dat
2007-07-28 18:21 16,384 Perflib_Perfdata_814.dat
2006-11-08 20:21 2,270 filelist.bat
3 Datei(en) 35,038 Bytes
0 Verzeichnis(se), 10,821,681,152 Bytes frei



Also mir sagt das alles garnix mehr .


Danke für die Hilfe

Hallo

lass aus dem Ordner System32 bitte diese Dateien :

wysipbac.ini
lvmtgbho.dll
lvcoinst.log
cabpisyw.dll
whbqqssx.ini
jjhcyewj.ini
jweychjj.dll

hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo,

hier das Resultat von VirusTotal:

Datei jjhcyewj.ini empfangen 2007.07.28 19:37:36 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.28 -
Kaspersky 4.0.2.24 2007.07.28 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Prevx1 V2 2007.07.28 -
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.28 -
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 -
weitere Informationen
File size: 465 bytes
MD5: e71890bc5e12093b395c1c0b8c126a0f
SHA1: 886f4d1beca06b713b8e5c4430011cbcf69f048e

Datei lvcoinst.log empfangen 2007.07.28 19:45:30 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.28 -
Kaspersky 4.0.2.24 2007.07.28 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.28 -
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 -
weitere Informationen
File size: 10501 bytes
MD5: 61347468d9f33b837453376ffe39e20a
SHA1: 2d1e35c5d5dcd0e2f1a002c53b2763bd9f55f6a4

Datei lvmtgbho.dll empfangen 2007.07.28 19:54:39 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.27 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.24 Suspicious Trojan/Worm
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.28 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.07.28 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 Suspicious file
Prevx1 V2 2007.07.28 -
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 VIPRE.Suspicious
Symantec 10 2007.07.28 -
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 69184 bytes
MD5: 92c829548274cb58ae1bfd724dfffc79
SHA1: 4555317b67eda6c10cd0fc2d0182546f64a1eef0
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Datei cabpisyw.dll empfangen 2007.07.28 20:00:56 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.24 Suspicious Trojan/Worm
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.28 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.07.28 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 Suspicious file
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 VIPRE.Suspicious
Symantec 10 2007.07.28 -
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 126016 bytes
MD5: a808253992d275521aaf88227aafb33f
SHA1: b635bf3e073f4b4579751fb119035a622418f9a7
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


Datei jweychjj.dll empfangen 2007.07.28 20:15:55 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.24 Suspicious Trojan/Worm
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.28 -
Kaspersky 4.0.2.24 2007.07.28 not-a-virus:AdWare.Win32.Virtumonde.hb
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 Suspicious file
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 VIPRE.Suspicious
Symantec 10 2007.07.28 Trojan.Vundo
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 126016 bytes
MD5: 7e1212b8d4558a289afbb19f45139604
SHA1: 0361df8638e576c280d5bd8cc5ad4c01e799e15a
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


Datei whbqqssx.ini empfangen 2007.07.28 20:17:09 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 Vundo.gen38
Ikarus T3.1.1.8 2007.07.28 -
Kaspersky 4.0.2.24 2007.07.28 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.28 -
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 -
weitere Informationen
File size: 1248525 bytes
MD5: bfc663f30853807a7171b498c2e9ece0
SHA1: 0106afb316261d00385ca0e19cecae7e5707fe5e

Datei wysipbac.ini empfangen 2007.07.28 20:18:14 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.28.0 2007.07.27 -
AntiVir 7.4.0.50 2007.07.28 -
Authentium 4.93.8 2007.07.27 -
Avast 4.7.997.0 2007.07.28 -
AVG 7.5.0.476 2007.07.28 -
BitDefender 7.2 2007.07.28 -
CAT-QuickHeal 9.00 2007.07.28 -
ClamAV 0.91 2007.07.28 -
DrWeb 4.33 2007.07.28 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5010 2007.07.28 -
Ewido 4.0 2007.07.28 -
FileAdvisor 1 2007.07.28 -
Fortinet 2.91.0.0 2007.07.28 -
F-Prot 4.3.2.48 2007.07.27 -
F-Secure 6.70.13030.0 2007.07.27 -
Ikarus T3.1.1.8 2007.07.28 -
Kaspersky 4.0.2.24 2007.07.28 -
McAfee 5085 2007.07.27 -
Microsoft 1.2704 2007.07.28 -
NOD32v2 2426 2007.07.27 -
Norman 5.80.02 2007.07.27 -
Panda 9.0.0.4 2007.07.28 -
Rising 19.33.52.00 2007.07.28 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.28 -
Symantec 10 2007.07.28 -
TheHacker 6.1.7.155 2007.07.28 -
VBA32 3.12.2.1 2007.07.27 -
VirusBuster 4.3.26:9 2007.07.28 -
Webwasher-Gateway 6.0.1 2007.07.28 -
weitere Informationen
File size: 1248656 bytes
MD5: fcd52198384ec74d907bffd2be2490db
SHA1: c654b5a872c957703cb98d4c6c8788d2edb3e343


Was mache ich nun mit den Dateien, die offensichtlich befallen sind?

Weiterhin sind dann möglichweise noch mehr Dateien betroffen, wenn ich mir die Ergebnisse der verschiedenen Scanner so ansehe.
Keiner erkennt wohl alle Viren.


Danke

Huhu.


mache nun bitte hiermit weiter..

Zitat:

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

danach sollten wir uns ans löschen machen aber ich will sichergehen, dass wir dann auch alles beisammen haben..

Gruß

Undoreal

Hallo,
nach stundenlangem Scan hier mal die Log:

Hijack mit umbenannter Exe
Logfile of HijackThis v1.99.1
Scan saved at 18:56, on 2007-07-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
I:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
G:\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
G:\Firefox\firefox.exe
I:\Hijakdir\Test.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\lvmtgbho.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = G:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://G:\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://G:\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://G:\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

Hier der iclean

iclean log 2007-07-29 18:57:05

Windows XP SP2, Using advanced Kernel functions

Processes
---------
592 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
688 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
716 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
760 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
772 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
948 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
964 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1016 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1128 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1244 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1328 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1424 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1536 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1584 - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe - Logitech LVPrcSrv Module. (Signed)
1916 - C:\WINDOWS\Explorer.EXE - Windows Explorer
196 - C:\WINDOWS\system32\RunDll32.exe - Eine DLL-Datei als Anwendung ausführen
192 - C:\WINDOWS\system32\PRISMSTA.EXE - PRISM Status Tray Applet
240 - C:\Programme\ATI Technologies\ATI.ACE\cli.exe - CLI Application (Command Line Interface)
244 - C:\PROGRA~1\CA\ETRUST~1\realmon.exe - C:\PROGRA~1\CA\ETRUST~1\realmon.exe
264 - Communications_ - Communications_
292 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
384 - C:\Programme\ATI Technologies\ATI.ACE\cli.exe - CLI Application (Command Line Interface)
420 - C:\Programme\Logitech\SetPoint\SetPoint.exe - Logitech SetPoint Event Manager (UNICODE)
524 - C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE - Logitech KHAL Main Process
532 - G:\WinZip\WZQKPICK.EXE - WinZip
1180 - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
1280 - C:\Programme\CA\eTrust Antivirus\InoRpc.exe - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
1364 - C:\Programme\CA\eTrust Antivirus\InoRT.exe - C:\Programme\CA\eTrust Antivirus\InoRT.exe
1440 - C:\Programme\CA\eTrust Antivirus\InoTask.exe - C:\Programme\CA\eTrust Antivirus\InoTask.exe
1820 - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe - LogWatNT
1844 - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - Logitech Video COM Service (Signed)
2116 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2844 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3148 - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - Logitech Video COM Service (Signed)
840 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
3412 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
2828 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1644 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
2884 - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe - Logitech Video COM Service (Signed)
2560 - C:\WINDOWS\Explorer.EXE - Windows Explorer
3712 - C:\WINDOWS\system32\RunDll32.exe - Eine DLL-Datei als Anwendung ausführen
4004 - C:\WINDOWS\system32\PRISMSTA.EXE - PRISM Status Tray Applet
2368 - C:\Programme\ATI Technologies\ATI.ACE\cli.exe - CLI Application (Command Line Interface)
404 - C:\PROGRA~1\CA\ETRUST~1\realmon.exe - C:\PROGRA~1\CA\ETRUST~1\realmon.exe
1768 - Communications_ - Communications_
3980 - C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe - Adobe Acrobat SpeedLauncher (Signed)
2944 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2512 - HDD Thermometer - HDD Thermometer
2972 - I:\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
3616 - C:\Programme\DAEMON Tools\daemon.exe - Virtual DAEMON Manager (Signed)
3012 - C:\Programme\ATI Technologies\ATI.ACE\cli.exe - CLI Application (Command Line Interface)
2232 - C:\Programme\Logitech\SetPoint\SetPoint.exe - Logitech SetPoint Event Manager (UNICODE)
1896 - G:\WinZip\WZQKPICK.EXE - WinZip
2056 - C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE - Logitech KHAL Main Process
1304 - G:\Firefox\firefox.exe - Firefox (Signed)
3700 - I:\Hijakdir\Test.exe - HijackThis
2928 - C:\WINDOWS\system32\NOTEPAD.EXE - Editor
3036 - I:\Hijack\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
C:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=HTTPFilter
c:\programme\ca\etrust antivirus\inonmsrv.exe=InoNmSrv
c:\programme\ca\etrust antivirus\inorpc.exe=InoRPC
c:\programme\ca\etrust antivirus\inort.exe=InoRT
c:\programme\ca\etrust antivirus\inotask.exe=InoTask
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\ca\sharedcomponents\ca_lic\logwatnt.exe=LogWatch
c:\programme\gemeinsame dateien\logishrd\lvcomser\lvcomser.exe=LVCOMSer
c:\programme\gemeinsame dateien\logishrd\lvmvfm\lvprcsrv.exe=LVPrcSrv
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: DAEMON Tools="c:\programme\daemon tools\daemon.exe" -lang 1033
000=HKCU\Run: RSD_HDDThermo=c:\programme\hdd thermometer\hdd thermometer.exe
000=HKCU\Run: SpybotSD TeaTimer=i:\spybot - search & destroy\teatimer.exe
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: ATICCC="c:\programme\ati technologies\ati.ace\cli.exe" runtime
000=HKLM\Run: Cmaudio=rundll32 cmicnfg.cpl
000=HKLM\Run: Logitech Hardware Abstraction Layer=c:\windows\khalmnpr.exe
000=HKLM\Run: LogitechCommunicationsManager="c:\programme\gemeinsame dateien\logishrd\lcommgr\communications_helper.exe"
000=HKLM\Run: PRISMSTA.EXE=prismsta.exe start
000=HKLM\Run: Realtime Monitor=c:\progra~1\ca\etrust~1\realmon.exe
001=Firewall bypass: K:\CundC3\RetailExe\1.0\cnc3game.dat=k:\cundc3\retailexe\1.0\cnc3game.dat
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=i:\spybot~1\sdhelper.dll ()
030=BHO: {C6039E6C-BDE9-4de5-BB40-768CAA584FDC}=c:\windows\system32\lvmtgbho.dll ()
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: ITBar7Layout=(null)

Startup Folders
---------------
Common: ati catalyst-infobereich.lnk -> C:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.exe
Common: desktop.ini
Common: logitech setpoint.lnk -> C:\PROGRA~1\Logitech\SetPoint\SetPoint.exe
Common: microsoft office.lnk -> C:\PROGRA~1\MICROS~2\Office\OSA9.EXE
Common: winzip quick pick.lnk -> G:\WinZip\WZQKPICK.EXE
Personal: desktop.ini

HOSTS
-----
127.0.0.1 localhost

Und noch der übel lange laufende escan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\Volker\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\D\WoW-1.12.0.5590-to-2.0.1.6114-deDE-patch\Updater.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei J:\Alcohol 120% 1[1].9.x build xxxx .rar/keygen.exe infiziert von "Trojan-Downloader.Win32.LoadAdv.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\D\WoW-1.12.0.5590-to-2.0.1.6114-deDE-patch\Updater.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei J:\Alcohol 120% 1[1].9.x build xxxx .rar/keygen.exe infiziert von "Trojan-Downloader.Win32.LoadAdv.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\Normal\LOKALE~1\Temp\qqcoorej.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jweychjj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\nwilankl.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\qqcoorej.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[2] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\awtsrrp.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\nnnlihh.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jweychjj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei G:\mirc\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
File I:\Hijakdir\Temp\jweychjj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\nwilankl.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\qqcoorej.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[2] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\awtsrrp.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\nnnlihh.dll.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei G:\mirc\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\tencent !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\61-3626-11dc-9b1b-806d6172696f} !!!
Offending Key found: HKLM\Software\tencent !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUNNAXSK\WinAntiVirusPro2006FreeInstall_de[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
K:\maxpayne\MaxPayne2.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUNNAXSK\WinAntiVirusPro2006FreeInstall_de[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
K:\maxpayne\MaxPayne2.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 97010
Gescannte Dateien: 96702
Gefundene Viren: 17
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Anzahl Fehler: 9
Dauer des Scans bisher: 00:59:56
Dauer des Scans bisher: 00:49:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:07:13.00
Batchende: 21:07:29.89


Ich frage mich ja, ob es nicht schneller geht das System neu zu installieren.

Danke

O.k. das sieht nicht so wild aus..

cCleaner solltest du schon auf dem Rechner haben!?

Wechsel in den abgesicherten Modus und lösche folgende Dateien:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\D\WoW-1.12.0.5590-to-2.0.1.6114-deDE-patch\Updater.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei J:\Alcohol 120% 1[1].9.x build xxxx .rar/keygen.exe infiziert von "Trojan-Downloader.Win32.LoadAdv.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\D\WoW-1.12.0.5590-to-2.0.1.6114-deDE-patch\Updater.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei J:\Alcohol 120% 1[1].9.x build xxxx .rar/keygen.exe infiziert von "Trojan-Downloader.Win32.LoadAdv.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\Normal\LOKALE~1\Temp\qqcoorej.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jweychjj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\nwilankl.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\qqcoorej.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[2] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\awtsrrp.dl l.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\nnnlihh.dl l.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\jweychjj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File I:\Hijakdir\Temp\jweychjj.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\nwilankl.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temp\qqcoorej.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Normal\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQODTNLZ\_affvm[2] markiert als "not-a-virus:AdWare.Win32.Virtumonde.hb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\awtsrrp.dl l.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\QooBox\Quarantine\C\WINDOWS\system32\nnnlihh.dl l.vir markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
         

Gleich danach räumst du mit CCleaner auf.

Neustart.

Nachsehen ob die Dateien wirklich gelöscht sind.

Gruß

Undoreal