Probleme mit IE und Firefox! Und noch mehr...

Santina · 16.09.2007, 17:27

Hallo ihr Lieben,

seit einigen Tagen zeigt mein AntiVirus Programm ständig neue Viren an und löscht sie danach angeblich. Aber mein PC spinnt weiterhin.
Erstmal ist er langsamer geworden und zweitens kann ich manchmal keine Internetseiten öffnen, obwohl ich online bin. Und MSN und Skype usw. funktionieren ganz normal. Wenns dann doch mal geht, dann kommt aber nach ein paar min. surfen schon ne Meldung, dass ich den IE schliessen sollte.

Also habe durch einen User von hier schon etwas Hilfe bekommen und ein paar Dateien bei Virustotal überprüfen lassen.

Habe hier mal die Ergebnisse und hoffe mal auf eure Hilfe

Code:

ATTFilter

Datei uepignzj.dll:

AhnLab-V3 2007.9.14.0 2007.09.14 - 
AntiVir 7.6.0.10 2007.09.14 HEUR/Crypted 
Authentium 4.93.8 2007.09.16 - 
Avast 4.7.1043.0 2007.09.15 - 
AVG 7.5.0.485 2007.09.15 - 
BitDefender 7.2 2007.09.16 - 
CAT-QuickHeal 9.00 2007.09.15 - 
ClamAV 0.91.2 2007.09.16 - 
DrWeb 4.33 2007.09.16 - 
eSafe 7.0.15.0 2007.09.13 - 
eTrust-Vet 31.1.5136 2007.09.14 - 
Ewido 4.0 2007.09.16 - 
FileAdvisor 1 2007.09.16 - 
Fortinet 3.11.0.0 2007.09.16 - 
F-Prot 4.3.2.48 2007.09.16 - 
F-Secure 6.70.13030.0 2007.09.15 - 
Ikarus T3.1.1.12 2007.09.16 - 
Kaspersky 4.0.2.24 2007.09.16 - 
McAfee 5120 2007.09.14 - 
Microsoft 1.2803 2007.09.16 - 
NOD32v2 2532 2007.09.16 - 
Norman 5.80.02 2007.09.14 Zlob.gen94 
Panda 9.0.0.4 2007.09.15 - 
Prevx1 V2 2007.09.16 KickStart:Trojan-S 
Rising 19.40.62.00 2007.09.16 - 
Sophos 4.21.0 2007.09.16 - 
Sunbelt 2.2.907.0 2007.09.15 - 
Symantec 10 2007.09.16 - 
TheHacker 6.2.5.060 2007.09.14 - 
VBA32 3.12.2.4 2007.09.15 - 
VirusBuster 4.3.26:9 2007.09.15 - 
Webwasher-Gateway 6.0.1 2007.09.14 Heuristic.Crypted 
weitere Informationen 
File size: 102400 bytes 
MD5: a48f996af2a6090854f5961d2c7a8d28 
SHA1: 635f89cf1d53c3fd3c1c6736da853dd5c56af668 
Prevx info: 

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=66539B6100806B87909E013676E33200A8ABE2EE[/

url]

Code:

ATTFilter

Datei winstrmd.dll:

AhnLab-V3 2007.9.14.0 2007.09.14 - 
AntiVir 7.6.0.10 2007.09.14 ADSPY/BHO.aa.1 
Authentium 4.93.8 2007.09.16 W32/Downloader.MNI 
Avast 4.7.1043.0 2007.09.15 Win32:Trojano-3384 
AVG 7.5.0.485 2007.09.15 Collected.11.AD 
BitDefender 7.2 2007.09.16 Trojan.BHO.WebPrefix.A 
CAT-QuickHeal 9.00 2007.09.15 - 
ClamAV 0.91.2 2007.09.16 AdWare.BHO-2 
DrWeb 4.33 2007.09.16 - 
eSafe 7.0.15.0 2007.09.13 - 
eTrust-Vet 31.1.5136 2007.09.14 - 
Ewido 4.0 2007.09.16 Trojan.BHO.b 
FileAdvisor 1 2007.09.16 - 
Fortinet 3.11.0.0 2007.09.16 Adware/KeenValue 
F-Prot 4.3.2.48 2007.09.16 W32/Downloader.MNI 
F-Secure 6.70.13030.0 2007.09.15 - 
Ikarus T3.1.1.12 2007.09.16 AdWare.Win32.BHO.aa 
Kaspersky 4.0.2.24 2007.09.16 not-a-virus:AdWare.Win32.BHO.aa 
McAfee 5120 2007.09.14 potentially unwanted program Adware-KeenValue 
Microsoft 1.2803 2007.09.16 BrowserModifier:Win32/KeenValuePerfectNav 
NOD32v2 2532 2007.09.16 a variant of Win32/Adware.BHO.AA 
Norman 5.80.02 2007.09.14 W32/BHO.X 
Panda 9.0.0.4 2007.09.15 Adware/KeenValue 
Prevx1 V2 2007.09.16 - 
Rising 19.40.62.00 2007.09.16 Trojan.DL.Agent.kpx 
Sophos 4.21.0 2007.09.16 Mapkon 
Sunbelt 2.2.907.0 2007.09.15 - 
Symantec 10 2007.09.16 Adware.Webprefix 
TheHacker 6.2.5.060 2007.09.14 Adware/BHO.aa 
VBA32 3.12.2.4 2007.09.15 suspected of Trojan-Downloader.Agent.47 
VirusBuster 4.3.26:9 2007.09.15 Adware.BHO.JT 
Webwasher-Gateway 6.0.1 2007.09.14 Ad-Spyware.BHO.aa.1 
weitere Informationen 
File size: 23438 bytes 
MD5: 4fdd8467b54dcaa1deaa1089516f42b5 
SHA1: 7b1a37dd14231847e332b05dd43899147a07065b

Code:

ATTFilter

Datei sfwlsjoh.dll:

AhnLab-V3 2007.9.14.0 2007.09.14 - 
AntiVir 7.6.0.10 2007.09.14 HEUR/Crypted 
Authentium 4.93.8 2007.09.16 - 
Avast 4.7.1043.0 2007.09.15 - 
AVG 7.5.0.485 2007.09.15 - 
BitDefender 7.2 2007.09.16 - 
CAT-QuickHeal 9.00 2007.09.15 - 
ClamAV 0.91.2 2007.09.16 - 
DrWeb 4.33 2007.09.16 - 
eSafe 7.0.15.0 2007.09.13 - 
eTrust-Vet 31.1.5136 2007.09.14 - 
Ewido 4.0 2007.09.16 - 
FileAdvisor 1 2007.09.16 - 
Fortinet 3.11.0.0 2007.09.16 PossibleThreat 
F-Prot 4.3.2.48 2007.09.16 - 
F-Secure 6.70.13030.0 2007.09.15 - 
Ikarus T3.1.1.12 2007.09.16 - 
Kaspersky 4.0.2.24 2007.09.16 - 
McAfee 5120 2007.09.14 - 
Microsoft 1.2803 2007.09.16 - 
NOD32v2 2532 2007.09.16 - 
Norman 5.80.02 2007.09.14 Zlob.gen94 
Panda 9.0.0.4 2007.09.15 Trj/Downloader.QET 
Prevx1 V2 2007.09.16 KickStart:Trojan-S 
Rising 19.40.62.00 2007.09.16 - 
Sophos 4.21.0 2007.09.16 - 
Sunbelt 2.2.907.0 2007.09.15 - 
Symantec 10 2007.09.16 - 
TheHacker 6.2.5.060 2007.09.14 - 
VBA32 3.12.2.4 2007.09.15 - 
VirusBuster 4.3.26:9 2007.09.15 - 
Webwasher-Gateway 6.0.1 2007.09.14 Heuristic.Crypted 
weitere Informationen 
File size: 46080 bytes 
MD5: 1fef5ac02b7e49b487e040d93ae3346f 
SHA1: 6f09e9966695362d075545a19d858ae7a84bbd25 
Prevx info: 

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=F80B4F5D0005ACF7B44300A2D7D2220040812561[/

url]

Code:

ATTFilter

Datei dkvqbizk.dll :

AhnLab-V3 2007.9.14.0 2007.09.14 - 
AntiVir 7.6.0.10 2007.09.14 HEUR/Crypted 
Authentium 4.93.8 2007.09.16 - 
Avast 4.7.1043.0 2007.09.15 - 
AVG 7.5.0.485 2007.09.15 - 
BitDefender 7.2 2007.09.16 - 
CAT-QuickHeal 9.00 2007.09.15 - 
ClamAV 0.91.2 2007.09.16 - 
DrWeb 4.33 2007.09.16 - 
eSafe 7.0.15.0 2007.09.13 - 
eTrust-Vet 31.1.5136 2007.09.14 - 
Ewido 4.0 2007.09.16 - 
FileAdvisor 1 2007.09.16 - 
Fortinet 3.11.0.0 2007.09.16 - 
F-Prot 4.3.2.48 2007.09.16 - 
F-Secure 6.70.13030.0 2007.09.15 - 
Ikarus T3.1.1.12 2007.09.16 - 
Kaspersky 4.0.2.24 2007.09.16 - 
McAfee 5120 2007.09.14 - 
Microsoft 1.2803 2007.09.16 - 
NOD32v2 2532 2007.09.16 - 
Norman 5.80.02 2007.09.14 Zlob.gen94 
Panda 9.0.0.4 2007.09.15 - 
Prevx1 V2 2007.09.16 KickStart:Trojan-S 
Rising 19.40.62.00 2007.09.16 - 
Sophos 4.21.0 2007.09.16 - 
Sunbelt 2.2.907.0 2007.09.15 - 
Symantec 10 2007.09.16 - 
TheHacker 6.2.5.060 2007.09.14 - 
VBA32 3.12.2.4 2007.09.15 - 
VirusBuster 4.3.26:9 2007.09.15 - 
Webwasher-Gateway 6.0.1 2007.09.14 Heuristic.Crypted 
weitere Informationen 
File size: 102400 bytes 
MD5: a48f996af2a6090854f5961d2c7a8d28 
SHA1: 635f89cf1d53c3fd3c1c6736da853dd5c56af668 
Prevx info: 

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=66539B6100806B87909E013676E33200A8ABE2EE[/

url]

Code:

ATTFilter

Datei barb_proc.exe :

AhnLab-V3 2007.9.14.0 2007.09.14 - 
AntiVir 7.6.0.10 2007.09.14 - 
Authentium 4.93.8 2007.09.16 - 
Avast 4.7.1043.0 2007.09.15 Win32:Obfuscated-BPR 
AVG 7.5.0.485 2007.09.15 - 
BitDefender 7.2 2007.09.16 Trojan.FatObfus.2.Gen 
CAT-QuickHeal 9.00 2007.09.15 - 
ClamAV 0.91.2 2007.09.16 - 
DrWeb 4.33 2007.09.16 Trojan.Packed.149 
eSafe 7.0.15.0 2007.09.13 - 
eTrust-Vet 31.1.5136 2007.09.14 - 
Ewido 4.0 2007.09.16 - 
FileAdvisor 1 2007.09.16 - 
Fortinet 3.11.0.0 2007.09.16 - 
F-Prot 4.3.2.48 2007.09.16 - 
F-Secure 6.70.13030.0 2007.09.15 - 
Ikarus T3.1.1.12 2007.09.16 not-a-virus:AdWare.Win32.Lop.ag 
Kaspersky 4.0.2.24 2007.09.16 - 
McAfee 5120 2007.09.14 - 
Microsoft 1.2803 2007.09.16 - 
NOD32v2 2532 2007.09.16 - 
Norman 5.80.02 2007.09.14 - 
Panda 9.0.0.4 2007.09.15 Suspicious file 
Prevx1 V2 2007.09.16 Adware.Lop:Payload-All Variants 
Rising 19.40.62.00 2007.09.16 - 
Sophos 4.21.0 2007.09.16 - 
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious 
Symantec 10 2007.09.16 - 
TheHacker 6.2.5.060 2007.09.14 - 
VBA32 3.12.2.4 2007.09.15 MalwareScope.Trojan-Downloader.Obfuscated.2 
VirusBuster 4.3.26:9 2007.09.15 - 
Webwasher-Gateway 6.0.1 2007.09.14 Win32.Malware.gen (suspicious) 
weitere Informationen 
File size: 1714688 bytes 
MD5: d3ffb2f52b5f4d21442c90bc371d752f 
SHA1: 6a8a78ca2797072da6b02192fb78686e01c47795 
Prevx info: 

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=90B13D7D00C598BD2AC51A216AC8CE008FBD7ABE[/

url] 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are 

deemed suspicious through heuristics.

Code:

ATTFilter

Datei FlawMeet.exe :

AhnLab-V3 2007.9.14.0 2007.09.14 - 
AntiVir 7.6.0.10 2007.09.14 - 
Authentium 4.93.8 2007.09.16 - 
Avast 4.7.1043.0 2007.09.15 Win32:Obfuscated-BPQ 
AVG 7.5.0.485 2007.09.15 - 
BitDefender 7.2 2007.09.16 Trojan.FatObfus.2.Gen 
CAT-QuickHeal 9.00 2007.09.15 - 
ClamAV 0.91.2 2007.09.16 - 
DrWeb 4.33 2007.09.16 Trojan.Packed.149 
eSafe 7.0.15.0 2007.09.13 - 
eTrust-Vet 31.1.5136 2007.09.14 - 
Ewido 4.0 2007.09.16 - 
FileAdvisor 1 2007.09.16 - 
Fortinet 3.11.0.0 2007.09.16 - 
F-Prot 4.3.2.48 2007.09.16 - 
F-Secure 6.70.13030.0 2007.09.15 Trojan.Win32.Obfuscated.en 
Ikarus T3.1.1.12 2007.09.16 not-a-virus:AdWare.Win32.Lop.ag 
Kaspersky 4.0.2.24 2007.09.16 Trojan.Win32.Obfuscated.en 
McAfee 5120 2007.09.14 - 
Microsoft 1.2803 2007.09.16 - 
NOD32v2 2532 2007.09.16 - 
Norman 5.80.02 2007.09.14 - 
Panda 9.0.0.4 2007.09.15 - 
Prevx1 V2 2007.09.16 Adware.Lop.Downloader 
Rising 19.40.62.00 2007.09.16 - 
Sophos 4.21.0 2007.09.16 - 
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious 
Symantec 10 2007.09.16 Adware.Lop 
TheHacker 6.2.5.060 2007.09.14 - 
VBA32 3.12.2.4 2007.09.15 MalwareScope.Trojan-Downloader.Obfuscated.2 
VirusBuster 4.3.26:9 2007.09.15 - 
Webwasher-Gateway 6.0.1 2007.09.14 Worm.Win32.Malware.gen (suspicious) 
weitere Informationen 
File size: 641024 bytes 
MD5: 5a6234d5c8a33f5b328f8de00860f0dc 
SHA1: 08c13b38aa742719b9298c64460163513791c18d 
Prevx info: 

[url]http://fileinfo.prevx.com/fileinfo.asp?PX5=C5379F1500937878C8BE09960807A30009F7415D[/

url] 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are 

deemed suspicious through heuristics.

Hoffe ihr könnt damit etwas anfangen und Danke im Vorraus!

Gruß
Santina

nochdigger · 16.09.2007, 18:03

Hallo

dann versuchen wir es nochmal

Zeig uns bitte nochmal ein aktuelles HijackThis Log, es wäre etwas mühselig zwischen dem Mülleimer und dem Fred hier hin und her zu springen.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MFG

Santina · 16.09.2007, 21:50

Ok danke

Also hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:58, on 16.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Editor plugin - {3AD6B13D-A0AB-46bb-8BC5-D89874EEAB3C} - rastyu.dll (file missing)
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - (no file)
O2 - BHO: (no name) - {7378296C-1FA1-46CC-927A-059E501AFAE4} - C:\Programme\Fjafkash\uepignzj.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {8CAB5E5E-B8D2-4A7E-A478-16216798F4D5} - C:\WINDOWS\system32\winstrmd.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Cas - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CaISSDT] "C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [lwtslqlo] rundll32.exe "C:\Programme\whkrsvqn\sfwlsjoh.dll",Init
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [dkvqbizk] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkvqbizk.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\barb proc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avp] c:\windows\temp\win26.tmp.exe
O4 - HKLM\..\Run: [SC2] c:\programme\seccenter\scprot4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [road clock] C:\DOKUME~1\Besitzer\ANWEND~1\REFAIM~1\FlawMeet.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk970YYDE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Sladur.com - Áúëãàðñêèÿò ñàéò çà çàïîçíàíñòâà - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O9 - Extra 'Tools' menuitem: sladur.com - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://curlystyle.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O20 - Winlogon Notify: xxyxwut - xxyxwut.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10574 bytes

nochdigger · 17.09.2007, 04:55

Hallo

deinstalliere bitte den Messenge Plus! 3 der hat dir einen Schädling mitgebracht der Werbung einblendet (Lop/Swizzor), arbeite also bitte zuerst diese Anleitung zum Swizzor entfernen ab.
Relevante Einträge für dich sind :

Zitat:

O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\barb proc.exe

O4 - HKCU\..\Run: [road clock] C:\DOKUME~1\Besitzer\ANWEND~1\REFAIM~1\FlawMeet.ex e

kontrolliere per HijackThis nach der Bereinigung, ob die Einträge auch verschwunden bleiben.

Melde dich dann bitte wieder, anschließend folgen weitere Schritte.

MFG

Santina · 17.09.2007, 16:44

Hmmm .. also den Messenger Plus hab ich deinstalliert... dann wollte ich per Anleitung diesen Swizzor entfernen, abeeer da kommt schon das nächste Problem: ich komme nicht in den abgesicherten Modus!

HILFEEEE

nochdigger · 17.09.2007, 17:47

Hallo

Zitat:

ich komme nicht in den abgesicherten Modus!

hm, da sind auch noch Dateien dazugekommen...

Lass diese Dateien bitte auswerten und poste die Ergebnisse :
c:\windows\temp\win26.tmp.exe
c:\programme\seccenter\scprot4.exe

MFG

Santina · 17.09.2007, 19:10

Diese Dateien existieren nicht

Zitat:

Lass diese Dateien bitte auswerten und poste die Ergebnisse :
c:\windows\temp\win26.tmp.exe
c:\programme\seccenter\scprot4.exe

nochdigger · 17.09.2007, 21:00

Hallo

das wird ja immer besser

Dann fangen wir mal so an, lade dir SmitfraudFix sowie ComboFix runter.
Starte HijackThis mit - Scan - und hake diese Einträge an wenn vorhanden :

Zitat:

O2 - BHO: Editor plugin - {3AD6B13D-A0AB-46bb-8BC5-D89874EEAB3C} - rastyu.dll (file missing)
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - (no file)
O2 - BHO: (no name) - {7378296C-1FA1-46CC-927A-059E501AFAE4} - C:\Programme\Fjafkash\uepignzj.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {8CAB5E5E-B8D2-4A7E-A478-16216798F4D5} - C:\WINDOWS\system32\winstrmd.dll
O2 - BHO: Cas - {B5F3970B-745E-46AC-B890-E08F69777D80} - (no file)
O4 - HKLM\..\Run: [lwtslqlo] rundll32.exe "C:\Programme\whkrsvqn\sfwlsjoh.dll",Init
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [dkvqbizk] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dkvqbizk.dll"
O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\barb proc.exe
O4 - HKLM\..\Run: [avp] c:\windows\temp\win26.tmp.exe
O4 - HKLM\..\Run: [SC2] c:\programme\seccenter\scprot4.exe
O4 - HKCU\..\Run: [road clock] C:\DOKUME~1\Besitzer\ANWEND~1\REFAIM~1\FlawMeet.ex e
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O9 - Extra button: Sladur.com - Áúëãàðñêèÿò ñàéò çà çàïîçíàíñòâà - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O9 - Extra 'Tools' menuitem: sladur.com - {1d2bdd80-120e-402b-8e44-c6e1eac6d173} - http://www.sladur.com (file missing)
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O20 - Winlogon Notify: xxyxwut - xxyxwut.dll (file missing)

klicke nun auf - fix checked - und beende Hijackthis.

Starte nun zuerst Smitfraudfix

Zitat:

* Mach einen Doppelklick auf SmitfraudFix.exe
* Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
* Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
* Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
Das Logfile findest du auf deiner Festplatte, normalerweise als C:\rapport.txt

Starte nun Combofix

Zitat:

Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Speichere dir den Inhalt vom Combofix ab.
Führe einen Neustart des Systems durch, erstelle bitte ein neues HijackThis Log und poste es, ebenfalls den rapport.txt sowie das vom Combofix.

MFG

Santina · 24.09.2007, 16:50

Alsooo ich glaube das ist bald alles hoffnungslos.. wenn ich Smitfraudfix starte und es die infizierten Dateien bereinigen will, dann steht da, dass es nicht zugreifen kann, weil die Datei von einem anderen Prozess verwendet wird..

BataAlexander · 24.09.2007, 17:10

Smitfraudfix muss zur Bereinigung im abgesicherten Modus ausgeführt werden.
Dann passiert sowas nicht.

24.09.2007, 17:10	#10
BataAlexander > MalwareDB	Probleme mit IE und Firefox! Und noch mehr... Smitfraudfix muss zur Bereinigung im abgesicherten Modus ausgeführt werden. Dann passiert sowas nicht. __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Probleme mit IE und Firefox! Und noch mehr...

Plagegeister aller Art und deren Bekämpfung: Probleme mit IE und Firefox! Und noch mehr...