Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
W32.Myzor.FK@yf

W32.Myzor.FK@yf


Log-Analyse und Auswertung: W32.Myzor.FK@yf

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 17.08.2007, 00:02   #1
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Hallo!
Mein Name ist Stefan, komme aus Österreich und habe ein Problem mit meinem PC!
Startseite vom Internet öffnet mit Iesafetyline.com
Weiters wird W32.Myzor.FK@yf auch öfter angezeigt.
Habe den Adaware drüberlaufen lassen, hat eine Menge gefunden und in Quarantäne geschickt.
Wieder ins Internet und wieder eine andere Startseite.
Bin dann auf Euer Forum gestoßen, habe mir das HJT runtergeladen und folgende Datei bekommen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:50, on 17.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\WinTV\Ir.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Security Tools\iesmn.exe
C:\Programme\Security Tools\iesmin.exe
C:\Programme\Security Tools\imsmain.exe
C:\Programme\Security Tools\imsmn.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5DDE5591-A8AB-4897-93EF-1E4E943F85A7} - C:\Programme\Security Tools\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Protection Bar - {CC18AE76-7E65-4258-A193-9EA0C52DA6B8} - C:\Programme\Security Tools\iesbpl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Security Tools\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Security Tools\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{069F7177-E404-43E8-9B9D-5BBEDDF0DC84}: NameServer = 195.3.96.67 195.3.96.68
O22 - SharedTaskScheduler: dataria - {18a8f76b-804b-4981-b87c-460699971a4b} - C:\WINDOWS\system32\igzxwrl.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

--
End of file - 8712 bytes


Bitte um Hilfe, bin ein derzeit leider leicht überforderter PC User.
Danke für die Hilfe

Stefan
PS.: Die Schritt für Schritt Anleitung von "Cidre" sind SUPER!!

Außerdem hat sich in der Symbolleiste eine neue Zeile eingeschlichen mit dem Namen: Security Toolbar 7.1

Alt 17.08.2007, 00:08   #2
myrtille
/// TB-Ausbilder
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Hi,
arbeite mal folgende Anleitung ab:zlob und poste dann den rapport und ein neues HJT-Log hier.

Außerdem würde ich dir empfehlen, dir einen alternativen Broswer wie Firefox oder Opera zuzulegen, damit gehst du deutlich weniger Risiken ein als mit dem IE.

lg myrtille
__________________
Alt 17.08.2007, 09:38   #3
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Danke erstmal für die rasche Antwort.
Ich habe die beiden Sachen jetzt gemacht und das ist dabei rausgekommen:

SmitFraudFix v2.212

Scan done at 10:05:00,79, 17.08.2007
Run from C:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{18a8f76b-804b-4981-b87c-460699971a4b}"="dataria"

[HKEY_CLASSES_ROOT\CLSID\{18a8f76b-804b-4981-b87c-460699971a4b}\InProcServer32]
@="C:\WINDOWS\system32\igzxwrl.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{18a8f76b-804b-4981-b87c-460699971a4b}\InProcServer32]
@="C:\WINDOWS\system32\igzxwrl.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{21532077-52C8-483B-A60E-FA9AC93CD889}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8EA8EEB5-63F1-4B6F-BB62-803454336394}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21532077-52C8-483B-A60E-FA9AC93CD889}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8EA8EEB5-63F1-4B6F-BB62-803454336394}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21532077-52C8-483B-A60E-FA9AC93CD889}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8EA8EEB5-63F1-4B6F-BB62-803454336394}: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{18a8f76b-804b-4981-b87c-460699971a4b}"="dataria"

[HKEY_CLASSES_ROOT\CLSID\{18a8f76b-804b-4981-b87c-460699971a4b}\InProcServer32]
@="C:\WINDOWS\system32\igzxwrl.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{18a8f76b-804b-4981-b87c-460699971a4b}\InProcServer32]
@="C:\WINDOWS\system32\igzxwrl.dll"



»»»»»»»»»»»»»»»»»»»»»»»» End

Bei dem neuen HJT habe ich folgenden Bericht bekommen:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:21, on 17.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\WinTV\Ir.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: dataria - {18a8f76b-804b-4981-b87c-460699971a4b} - C:\WINDOWS\system32\igzxwrl.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

--
End of file - 8027 bytes


Beim Internet Start war die Security Toolbar Symbolleiste nicht mehr sichtbar.


Heute morgen habe ich vor dem zlob und HJT auch den Antivir drüberlaufen lassen. Hier die Datei:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 17. August 2007 08:35

Es wird nach 1025692 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 22.04.2007 03:53:51
AVSCAN.DLL : 7.0.4.0 41000 Bytes 22.04.2007 03:53:51
LUKE.DLL : 7.0.4.11 143400 Bytes 22.04.2007 03:53:52
LUKERES.DLL : 7.0.4.0 10792 Bytes 22.04.2007 03:53:52
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 20:04:39
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 21:02:20
ANTIVIR2.VDF : 6.39.0.226 1223680 Bytes 10.08.2007 18:20:05
ANTIVIR3.VDF : 6.39.1.10 232960 Bytes 16.08.2007 06:30:53
AVEWIN32.DLL : 7.4.1.62 2724352 Bytes 14.08.2007 18:20:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 22.04.2007 03:53:51
AVPREF.DLL : 7.0.2.1 24616 Bytes 22.04.2007 03:53:51
AVREP.DLL : 7.0.0.1 155688 Bytes 22.04.2007 03:53:53
AVPACK32.DLL : 7.3.0.15 360488 Bytes 09.08.2007 10:36:34
AVREG.DLL : 7.0.1.2 31784 Bytes 22.04.2007 03:53:51
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 22.04.2007 03:53:51
AVARKT.DLL : 1.0.0.17 278568 Bytes 12.05.2007 07:26:54
NETNT.DLL : 7.0.0.0 7720 Bytes 22.04.2007 03:53:52
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 22.04.2007 03:53:47
RCTEXT.DLL : 7.0.45.0 86056 Bytes 22.04.2007 03:53:47

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: I:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Freitag, 17. August 2007 08:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HOTSYNC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iesmin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'imsmn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SFAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dragdiag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'imsmain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iesmn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '35' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Volume>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Stefan Aigner\Lokale Einstellungen\Temp\laf1.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Renos.D
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '472b4399.qua' verschoben!
C:\WINDOWS\system32\igzxwrl.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Renos.E
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'D:\' <Sudoku1111>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Freitag, 17. August 2007 09:34
Benötigte Zeit: 59:07 min

Der Suchlauf wurde vollständig durchgeführt.

9824 Verzeichnisse wurden überprüft
375690 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
375688 Dateien ohne Befall
7187 Archive wurden durchsucht
3 Warnungen
10 Hinweise
0 Versteckte Objekte wurden gefunden


Ich hoffe ich mache Euch nicht zuviel Mühe und nochmals Dankeschön für die Hilfe !!



Stefan
__________________
Alt 17.08.2007, 12:10   #4
myrtille
/// TB-Ausbilder
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Hi,
einen Eintrag von Zlob gibt es noch:
Geh bitte nochmal in den abgesicherten Modus und lösche die Datei C:\WINDOWS\system32\igzxwrl.dll, dann starte Hijackthis.exe und fixe folgenden Eintrag:
Zitat:
O22 - SharedTaskScheduler: dataria - {18a8f76b-804b-4981-b87c-460699971a4b} - C:\WINDOWS\system32\igzxwrl.dll (file missing)
Danach kannst du nochmal dein Antivirenprogramm durchlaufen lassen um zu sehen ob es noch die Datei weiterhin findet.
Anschließend wieder im normalen Modus starten, ein neues Hijackthislog posten und berichten was für Probleme weiterhin bestehen.

Aber eigentlich dürftest du schon so gut wie sauber sein.

lg myrtille

Alt 17.08.2007, 22:59   #5
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


:aplaus:
D A N K E !!!!
Also ich hab jetzt den PC im abgesicherten Modus wieder gestartet u. wollte die Datei:
C:\WINDOWS\System32\igzxwrl.dll
löschen, aber ich habe sie nicht mehr gefunden.
Danach habe ich den PC neu gestartet und den HJT drüberlaufen lassen und die
022 - SharedTask..........
gefixt.
Das neue Hijackthislog lautet so:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:42:57, on 17.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\WinTV\Ir.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{069F7177-E404-43E8-9B9D-5BBEDDF0DC84}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

--
End of file - 8083 bytes


Also der PC läuft jetzt wieder normal. Habe auch schon den Browser auf Firefox umgestellt.

Ich möchte mich noch bei
MYRTILLE
für die rasche Hilfe bedanken.
Ebenfalls danke für die Super Schritt für Schritt Anleitungen in diesem Forum (teilweise erstellt von CIDRE). Ohne dieser Hilfe hätte ich das nicht geschafft.

Hab aber trotzdem wieder ein paar graue Haare mehr bekommen

Gute Nacht

Stefan owitsch


Alt 18.08.2007, 06:48   #6
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Guten Morgen!

Ich habe heute den PC gestartet und von AntiVir folgende Meldung erhalten:
C:\System Volume Information\...\A0004756.dll
Ist das Trojanische Pferd TR/Dldr.Zlob.BBK.3
Ich glaube mich zu erinnern, daß das Virenprogramm die Guten von den Bösen nicht unterscheiden kann, ist das richtig?
Ich habe das Smitfraud aus dem Programm Ordner gelöscht und den Virus in Quarantäne verschoben.

lg

Stefan

Alt 18.08.2007, 09:41   #7
irrlicht
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Hallo,

Zitat:
das Smitfraud aus dem Programm Ordner gelöscht und den Virus in Quarantäne verschoben.
Soweit so gut.....

Dabei übersiehst du aber ,was dein AV-Programm dir eigentlich mitteilen will...
Beachte den angegebenen Pfad :
Zitat:
C:\System Volume Information\
Übersetzt ins computerische heißt das "Systemwiederherstellung"
Diese "SWH" dient dazu,die Kiste zurückzusetzen beispielsweise wenn Software nicht so tut wie sie soll....XP setzt recht selbstständig bei größeren Aktionen solche "Systemwiederherstellungspunkte".
Das wissen auch die "bösen Buben" und geben ihren Schädlingen diese "Phönix-aus-der-Asche" Nummer mit...
Um nun deinem Malwarephönix den endgültigen Garaus zu machen..............googelst du,damit du auch was lernst...
Du hättest also folgende Suchworte "Schädlinge in derSystemwiederherstellung "
Da du ja "Cidre" so toll findest,solltest du seinem Rat auch folgen den du mit Google erhältst...:aplaus:
Irrlicht

Alt 18.08.2007, 13:07   #8
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Also ich habe jetzt die Systemherstellung deaktiviert, Smitfraud im abgesicherten Modus gemacht und danach den HJT drüberlaufen lassen.
SmitFraudFix v2.212

Scan done at 13:27:18,59, 18.08.2007
Run from C:\Programme\HiJackThis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan Aigner


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan Aigner\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\STEFAN~1\FAVORI~1

C:\DOKUME~1\STEFAN~1\FAVORI~1\Antivirus Test Online.url FOUND !
C:\DOKUME~1\STEFAN~1\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{21532077-52C8-483B-A60E-FA9AC93CD889}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8EA8EEB5-63F1-4B6F-BB62-803454336394}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21532077-52C8-483B-A60E-FA9AC93CD889}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8EA8EEB5-63F1-4B6F-BB62-803454336394}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21532077-52C8-483B-A60E-FA9AC93CD889}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8EA8EEB5-63F1-4B6F-BB62-803454336394}: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

und jetzt den HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:42, on 18.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\WinTV\Ir.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 5 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

--
End of file - 7953 bytes


Die deaktivierte Systemwiederherstellung kann ich jetzt wieder aktivieren?

CleanUp (temporäre Internetdateien löschen) soll ich wann machen und zu was ist das gut?

Auch an "IRRLICHT" natürlich meinen herzlichen Dank.
Cidre u. Myrtille waren meine ersten Helfer in diesem Forum. Aber aller Guten Dinge sind natürlich Drei, und so bist Du (Irrlicht) in diesem Bunde der Dritte!
:aplaus:

Danke

Stefan

Alt 18.08.2007, 14:16   #9
myrtille
/// TB-Ausbilder
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Zitat:
Zitat von Stefanowitsch Beitrag anzeigen
Also ich habe jetzt die Systemherstellung deaktiviert, Smitfraud im abgesicherten Modus gemacht und danach den HJT drüberlaufen lassen.
SmitFraudFix v2.212

Scan done at 13:27:18,59, 18.08.2007
Run from C:\Programme\HiJackThis\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
Das mit dem abgesicherten Modus müsstest du bei Gelegenheit nochmal üben.

Hast du den Rechner schonmal ausgeschaltet, nachdem du die SWH deaktivert hattest? Wenn nicht, dann hole das nach, lass den Rechner nen Augenblick aus und starte ihn dann neu. Dann werden die SWH-Punkte gelöscht sein. Danach kannst du auch die SWH aktivieren. Aber mal im Ernst: Hast du sie schonmal benutzt? Brauchst du sie?
Wenn nicht würde ich sie einfach aus lassen, das frisst nur Speicher.

lg myrtille

Alt 18.08.2007, 16:36   #10
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Zum Thema abgesicherter Modus:
Fahre den Rechner hoch, klopfe dauernd auf die F8 Taste, danach markiere ich "abgesicherter Modus", im nächsten Bild bestätige ich "Windows Home Edition", dann braucht der Rechner eine Weile und zum Schluß kann ich auswählen ob ich als Administrator oder Stefan einsteigen will.
Bin einmal als Admin u. einmal als Stefan eingestiegen, je nach Laune! War das der Fehler?
Sind lt Text vom HJT noch Viren oben?
Der AV hat jetzt beim Starten nichts gefunden!

Hab auch Probleme mit einer externen Festplatte. Wollte diese heute Vormittag defragmentieren, bekam aber die Meldung das Laufwerk müsse vorher mit cdhsk, oder so ähnlich überprüft werden.
Habe dann mit der rechten Maustaste auf das Symbol geklickt u. Freigabe u. Sicherheit angewählt. Aber das Laufwerk ließ sich nicht komplett überprüfen. Blieb immer in der Mitte hängen.
Brauche auch da guten Rat.

Stefan

Alt 18.08.2007, 16:57   #11
myrtille
/// TB-Ausbilder
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Das war nicht ganz ernst gemeint. Das Log wurde offensichtlich im normalen Modus erstellt, deswegen hab ich da mal ein wenig klugscheißen müssen. Evtl hast du Smitfraudfix ja auch einfach nochmal ausgeführt und damit das Log ausm abgesicherten Modus überschrieben!?

Zitat:
Fahre den Rechner hoch, klopfe dauernd auf die F8 Taste, danach markiere ich "abgesicherter Modus", im nächsten Bild bestätige ich "Windows Home Edition",
Hast du mehrere Betriebssysteme auf deinem Rechner, oder wieso musst du Professional auswählen?

Das Logfile sah und sieht sauber aus.

Wegen deiner externen Festplatte:
Ich vermute der Befehl lautet chkdsk?
Den rät Windows an wenn er auf der Platte Fehler vermutet. (Zb nach Abstürzen oder plötzlichem Verschwinden der Platte)

lg myrtille

Alt 19.08.2007, 05:33   #12
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Hallo!

AntiVir hat wieder einen Fund gemacht:

TR/Dldr.Zlob.AFM

chkdsk Stimmt!!

Ich habe das ein paarmal probiert, leider hat das nie so richtig funktioniert. Muß dazu sagen, daß der Rechner dieses externe Laufwerk einmal kennt, dann wieder nicht!?
Zu was taugt der Cleanup? Soll ich den noch machen?

lg
Stefan

Alt 19.08.2007, 10:56   #13
myrtille
/// TB-Ausbilder
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Zum Fund kann ich wieder erst was sagen, wenn du mir die Adresse gibst, an der er Zlob gefunden haben will.

Cleanup löscht die temporären Dateien, also zb die Bilder, die eine Webseite zusammenstellen und auf deinen Rechner runtergeladen wurden, damit du sie dir ansehen kannst. (Programme machen sowas in leicht anderer Form auch)
Also Dateien, die kurzfristig für das richtige funktionieren benötigt wurden, dann aber da nur noch als Karteileichen rumliegen und vor allem sind das Dateien, die bei Bedarf immer wieder neu erstellt werden kennen.
Es kann sein, dass sich auch dort überreste von Zlob verstecken, wenn du zb Zlob ausm Netz runtergeladen und direkt ausgeführt hast, dann ist der Installer wahrscheinlich in einer dieser Tempdateien zu finden.

lg myrtille, die heute zwar Romane schreibt, aber irgendwie nur Buchstabensalat zu Papier bringt.

Alt 19.08.2007, 11:04   #14
Stefanowitsch
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


Das war der Fundort:

C:\Dokumente und Einstellungen\Stefan Aigner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I51UZI5O\index[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.AFM
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '472bc1d8.qua' verschoben!

Ich werde dann mal den Cleanup machen.

Mahlzeit

Stefan

Alt 19.08.2007, 11:10   #15
myrtille
/// TB-Ausbilder
 
W32.Myzor.FK@yf - Standard

W32.Myzor.FK@yf


und mit cleanup sollte dann auch die Meldung (und die kritisierte Datei) verschwinden.

Ich würde dir dann übrigens noch empfehlen auf einen anderen Browser wie zb Firefox oder Opera umzusteigen. In diesem Fall darfst du Schuld zwar wohl alleine bei dir suchen, aber der IE ist weiterhin der Browser, der am anfälligsten ist.
(Einfach weil ihn 70% der Surfer noch benutzen. Es ist für einen Trojanerersteller viel sinnvoller eine Sicherheitslücke im IE auszunutzen als eine Lücke im Firefox oder Opera. Mit der Lücke im IE kann er 70% der Surfer angreifen, mit dem Firefox grad mal 10%. Deswegen wird noch wie vor viel weniger Malware für Firefox als für den IE geschrieben)

lg myrtille

Antwort
Seite 1 von 2 1 2

Themen zu W32.Myzor.FK@yf
adobe, alcatel, antivir, avira, bho, canon, confused, diagnostics, dll, excel, explorer, ftp, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, pdf, picasa, problem, quara, rundll, s-1-5-18, security, security tools, software, super, system, temp, trend micro, usb, windows, windows xp, öffnet


« Notebook stürzt mit Bluescreen ab | PC friert ein/hängt sich auf »


Ähnliche Themen: W32.Myzor.FK@yf


  1. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 14.03.2008 (4)
  2. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 21.02.2008 (1)
  3. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 16.01.2008 (10)
  4. w32.myzor.fk@yf
    Plagegeister aller Art und deren Bekämpfung - 14.11.2007 (1)
  5. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 24.10.2007 (6)
  6. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 23.09.2007 (14)
  7. W32.Myzor.FK@YF
    Log-Analyse und Auswertung - 03.09.2007 (1)
  8. Virus W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 23.08.2007 (4)
  9. W32.myzor - wie entfernen?
    Log-Analyse und Auswertung - 14.07.2007 (6)
  10. w32.myzor.fk@yf fehlermeldung
    Log-Analyse und Auswertung - 14.07.2007 (1)
  11. Virus W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 22.04.2007 (6)
  12. Warnung W32.Myzor@FK@yf
    Log-Analyse und Auswertung - 03.03.2007 (3)
  13. w32.MYZOR.fk
    Log-Analyse und Auswertung - 30.01.2007 (7)
  14. Virus W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 27.11.2006 (18)
  15. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 12.11.2006 (1)
  16. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 26.10.2006 (1)
  17. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 04.10.2006 (21)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema W32.Myzor.FK@yf - Hallo! Mein Name ist Stefan, komme aus Österreich und habe ein Problem mit meinem PC! Startseite vom Internet öffnet mit Iesafetyline.com Weiters wird W32.Myzor.FK@yf auch öfter angezeigt. Habe den Adaware - W32.Myzor.FK@yf...
Archiv
Du betrachtest: W32.Myzor.FK@yf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55