Internet explorer öffnet sich

Allerknappe04 · 20.09.2007, 16:28

Hallo erstmal

Ich habe ein problem und zwar öffnet sich bei mir immer und immer wieder dieser internet explorer mit deren werbe inhalten. Ich weiss zwar das hier im forum schon mehrere solche probleme hatten aber aus deren texten wurd ich einfach nicht schlau und deshalb bitte ich euch bei mir um hilfe

Logfile of HijackThis v1.99.1
Scan saved at 17:26:09, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\M?crosoft\w?nlogon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\explorer.exe
F:\Programme\KONAMI\Pro Evolution Soccer 6\pes6.exe
F:\Programme\Xfire\xfire.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dominic\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schalke04.de/
O2 - BHO: (no name) - {1A8EA3BB-697D-29E4-7A04-3DB67F40F0CB} - C:\WINDOWS\system32\qoxqjin.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Nqarmymc] C:\WINDOWS\system32\M?crosoft\w?nlogon.exe
O4 - HKCU\..\Run: [SfKg6w] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\qmdrt.exe
O4 - HKCU\..\Run: [Crtb] "C:\PROGRA~1\SMBOLS~1\dllhost.exe" -vt ndrv
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - F:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Bitte um Hilfe

**Sunny** · 20.09.2007, 16:37

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\Microsoft\winlogon.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Window s\qmdrt.exe
C:\PROGRA~1\SMBOLS~1\dllhost.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Gruß
Sunny

Allerknappe04 · 20.09.2007, 17:47

C:\WINDOWS\system32\winlogon.exe (habe winlogon.exe nicht in C:\WINDOWS\system32\Microsoft\ gefunden nur in dem ordner davor hoffe das ist auch in ordnung.)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.21.0 2007.09.20 -
AntiVir 7.6.0.15 2007.09.20 -
Authentium 4.93.8 2007.09.20 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.20 -
BitDefender 7.2 2007.09.20 -
CAT-QuickHeal 9.00 2007.09.20 -
ClamAV 0.91.2 2007.09.20 -
DrWeb 4.33 2007.09.20 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5150 2007.09.20 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.20 -
Fortinet 3.11.0.0 2007.09.20 -
F-Prot 4.3.2.48 2007.09.19 -
F-Secure 6.70.13030.0 2007.09.20 -
Ikarus T3.1.1.12 2007.09.20 -
Kaspersky 4.0.2.24 2007.09.20 -
McAfee 5123 2007.09.19 -
Microsoft 1.2803 2007.09.20 -
NOD32v2 2541 2007.09.20 -
Norman 5.80.02 2007.09.20 -
Panda 9.0.0.4 2007.09.20 -
Prevx1 V2 2007.09.20 -
Rising 19.41.32.00 2007.09.20 -
Sophos 4.21.0 2007.09.20 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.20 -
TheHacker 6.2.5.063 2007.09.20 -
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.20 -
Webwasher-Gateway 6.0.1 2007.09.20 -
weitere Informationen
File size: 507392 bytes
MD5: 2b6a0baf33a9918f09442d873848ff72
SHA1: e94549181cc6cdf9f5373e86c857049b73baee66

Die Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Window s\qmdrt.exe konnte ich weshalb auch immer obwohl ich auch versteckte datein usw. eingeblendet habe nicht finden.

Die Datein dllhost.exe war ebenfalls nicht unter C:\PROGRA~1\SMBOLS~1\dllhost.exe anzufinden haben nur eine im system32 ordner finden die ich hier hochgeladen habe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.21.0 2007.09.20 -
AntiVir 7.6.0.15 2007.09.20 -
Authentium 4.93.8 2007.09.20 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.20 -
BitDefender 7.2 2007.09.20 -
CAT-QuickHeal 9.00 2007.09.20 -
ClamAV 0.91.2 2007.09.20 -
DrWeb 4.33 2007.09.20 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5150 2007.09.20 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.20 -
Fortinet 3.11.0.0 2007.09.20 -
F-Prot 4.3.2.48 2007.09.19 -
F-Secure 6.70.13030.0 2007.09.20 -
Ikarus T3.1.1.12 2007.09.20 -
Kaspersky 4.0.2.24 2007.09.20 -
McAfee 5124 2007.09.20 -
Microsoft 1.2803 2007.09.20 -
NOD32v2 2541 2007.09.20 -
Norman 5.80.02 2007.09.20 -
Panda 9.0.0.4 2007.09.20 -
Prevx1 V2 2007.09.20 -
Rising 19.41.32.00 2007.09.20 -
Sophos 4.21.0 2007.09.20 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.20 -
TheHacker 6.2.5.063 2007.09.20 -
VBA32 3.12.2.4 2007.09.20 -
VirusBuster 4.3.26:9 2007.09.20 -
Webwasher-Gateway 6.0.1 2007.09.20 -
weitere Informationen
File size: 5120 bytes
MD5: bed2c7627ab78ca721efb8b49efb13ee
SHA1: 6551929f90ef7849a09e85199ca4c87d595e9fcb

filelist:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0048-52F9

Verzeichnis von C:\

20.09.2007 18:10 1.073.008.640 hiberfil.sys
20.09.2007 18:10 1.610.612.736 pagefile.sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0048-52F9

Verzeichnis von C:\WINDOWS\system32

16.09.2007 19:21 16.832 amcompat.tlb
16.09.2007 19:21 23.392 nscompat.tlb
16.09.2007 19:15 13.646 wpa.dbl
16.09.2007 17:57 103.736 PnkBstrB.exe
14.09.2007 18:05 127.254 nvapps.xml
14.09.2007 14:46 664 d3d9caps.dat
14.09.2007 14:46 552 d3d8caps.dat
08.09.2007 17:04 98.304 CmdLineExt.dll
07.09.2007 16:48 692.257 windows_ld.dll
06.09.2007 04:50 17.474.680 MRT.exe
05.09.2007 22:00 311.604 perfh009.dat
05.09.2007 22:00 316.594 perfh007.dat
05.09.2007 22:00 39.992 perfc009.dat
05.09.2007 22:00 48.156 perfc007.dat
05.09.2007 22:00 723.744 PerfStringBackup.INI
31.08.2007 17:16 249.772 TZLog.log
24.08.2007 21:58 100.640 FNTCACHE.DAT
24.08.2007 19:54 2 wcpsvcc32.exe
24.08.2007 02:51 10.384 jupdate-1.5.0_12-b04.log

Verzeichnis von C:\WINDOWS\Prefetch

20.09.2007 18:40 10.984 FIND.EXE-0EC32F1E.pf
20.09.2007 18:40 10.922 CMD.EXE-087B4001.pf
20.09.2007 18:40 83.550 IEXPLORE.EXE-2CA9778D.pf
20.09.2007 18:38 40.866 WINRAR.EXE-1A0EFB18.pf
20.09.2007 18:33 18.332 VERCLSID.EXE-3667BD89.pf
20.09.2007 18:12 21.384 WMIAPSRV.EXE-1E2270A5.pf
20.09.2007 18:11 27.294 WMIPRVSE.EXE-28F301A9.pf
20.09.2007 18:11 66.310 WUAUCLT.EXE-399A8E72.pf
20.09.2007 18:11 94.886 FIREFOX.EXE-28BE8AE1.pf
20.09.2007 18:11 21.164 NOTEPAD.EXE-336351A9.pf
20.09.2007 18:11 52.014 NMIndexStoreSvr.exe-1DBCF9FD.pf
20.09.2007 18:11 28.542 ALG.EXE-0F138680.pf
20.09.2007 18:11 651.994 NTOSBOOT-B00DFAAD.pf
20.09.2007 18:05 37.604 GUARDGUI.EXE-1EC82CEA.pf
20.09.2007 17:33 23.516 RUNDLL32.EXE-2A94BB85.pf
20.09.2007 17:33 23.562 RUNDLL32.EXE-2E5AF1D7.pf
20.09.2007 17:26 21.528 HIJACKTHIS.EXE-01AB631C.pf
20.09.2007 17:14 22.762 HELPER.EXE-0FA8EADB.pf
20.09.2007 17:14 61.722 UPDATER.EXE-0E756440.pf
20.09.2007 17:13 42.584 XFIRE.EXE-01F4A30A.pf
20.09.2007 17:03 26.736 PES6.EXE-209ECACE.pf
20.09.2007 16:59 47.610 AVSCAN.EXE-1702C14B.pf
20.09.2007 16:58 75.716 AVCENTER.EXE-12E38D18.pf
20.09.2007 16:57 23.418 TASKMGR.EXE-20256C55.pf
20.09.2007 16:52 41.672 IMAPI.EXE-0BF740A4.pf
20.09.2007 16:52 71.058 EXPLORER.EXE-082F38A9.pf
20.09.2007 16:52 13.262 DUMPREP.EXE-1B46F901.pf
20.09.2007 16:51 111.582 AVNOTIFY.EXE-278D3CE0.pf
20.09.2007 16:26 54.442 AVGNT.EXE-34DB0DF2.pf
20.09.2007 16:25 44.026 UPDATE.EXE-16715754.pf
20.09.2007 16:25 12.994 PREUPD.EXE-0B43CCF7.pf
19.09.2007 21:52 19.154 LOGONUI.EXE-0AF22957.pf
19.09.2007 20:39 94.236 FIREFOX.EXE-2A1B96AB.pf
19.09.2007 19:29 16.134 DEFRAG.EXE-273F131E.pf
19.09.2007 19:29 14.074 DFRGNTFS.EXE-269967DF.pf
19.09.2007 19:29 210.906 Layout.ini
19.09.2007 19:24 13.924 LOGON.SCR-151EFAEA.pf
19.09.2007 18:10 62.696 DOOM3.EXE-31065BF6.pf
19.09.2007 17:33 15.000 NMINDEXINGSERVICE.EXE-19799BA6.pf
19.09.2007 16:30 21.322 REGSVR32.EXE-25EEFE2F.pf
19.09.2007 16:24 31.384 RUNDLL32.EXE-35A483DA.pf
18.09.2007 13:44 42.014 81.EXE-23EF99F9.pf
17.09.2007 16:04 40.638 SPUPDSVC.EXE-21B36524.pf
17.09.2007 16:04 51.492 UNREGMP2.EXE-07CACB61.pf
16.09.2007 14:26 77.646 MSIEXEC.EXE-2F8A8CAE.pf
16.09.2007 14:24 14.494 RUNDLL32.EXE-451FC2C0.pf
16.09.2007 03:29 80.606 LAUNCHER.EXE-05C61F87.pf
47 Datei(en) 2.689.756 Bytes
0 Verzeichnis(se), 10.084.581.376 Bytes frei

Verzeichnis von C:\WINDOWS

20.09.2007 18:11 0 0.log
20.09.2007 18:10 2.048 bootstat.dat
20.09.2007 18:09 1.938.819 WindowsUpdate.log
20.09.2007 18:09 20.144 SchedLgU.Txt
17.09.2007 19:02 50.460 spupdsvc.log
17.09.2007 16:04 128.559 ntdtcsetup.log
17.09.2007 16:04 237.151 tsoc.log
17.09.2007 16:04 96.635 iis6.log
17.09.2007 16:04 1.374 imsins.log
17.09.2007 16:04 214.686 comsetup.log
17.09.2007 16:04 34.059 ocmsn.log
17.09.2007 16:04 5.368 KB929399.log
17.09.2007 16:04 297.537 ocgen.log
17.09.2007 16:04 30.844 msgsocm.log
17.09.2007 16:04 611.289 FaxSetup.log
17.09.2007 16:04 459.904 setupapi.log
17.09.2007 16:04 1.374 imsins.BAK
17.09.2007 16:04 5.098 KB939683.log
17.09.2007 16:04 13.937 KB936782.log
17.09.2007 16:04 38.885 wmsetup.log
16.09.2007 19:31 69 NeroDigital.ini
16.09.2007 19:17 7.945 KB926239.log
16.09.2007 19:17 28.551 updspapi.log
16.09.2007 19:17 6.124 MSCompPackV1.log
16.09.2007 19:16 13.758 wmp11.log
16.09.2007 19:16 1.761 wmsetup10.log
16.09.2007 19:16 507 win.ini
16.09.2007 19:16 24.271 WMFDist11.log
16.09.2007 19:16 316.640 WMSysPr9.prx
16.09.2007 19:15 7.750 Wudf01000Inst.log
16.09.2007 14:29 70.992 DirectX.log
16.09.2007 14:29 330 doom3.ini
05.09.2007 14:55 22.057 War3Unin.dat
05.09.2007 14:42 2.829 War3Unin.pif
05.09.2007 14:42 126.976 War3Unin.exe
31.08.2007 17:16 21.436 KB933360.log
26.08.2007 22:31 0 nsreg.dat

Verzeichnis von C:\WINDOWS\tasks

20.09.2007 18:10 6 SA.DAT

Verzeichnis von C:\WINDOWS\temp

09.09.2007 16:50 0 Upd13.tmp
08.09.2007 14:02 0 Upd14.tmp
07.09.2007 13:26 0 Upd12.tmp
05.09.2007 14:31 0 Upd11.tmp
04.09.2007 13:28 0 UpdE.tmp
01.09.2007 19:27 0 Upd9.tmp
31.08.2007 14:40 0 UpdD.tmp
28.08.2007 11:32 0 UpdA.tmp
26.08.2007 22:07 0 Upd8.tmp
25.08.2007 02:17 0 Upd30.tmp
24.08.2007 02:17 0 Upd54.tmp
23.08.2007 02:17 0 UpdC.tmp
22.08.2007 01:45 0 Upd21.tmp
20.08.2007 21:45 0 Upd7.tmp

Verzeichnis von C:\DOKUME~1\Dominic\LOKALE~1\Temp

20.09.2007 18:40 124.488 filelist.txt
20.09.2007 18:39 35.649 browserview-197f6b0.htm
20.09.2007 18:28 21 NDr72.tmp.html
20.09.2007 18:20 21 NDr34.tmp.html
20.09.2007 18:15 173 jusched.log
20.09.2007 18:13 548 NDrB.tmp.html
20.09.2007 18:13 786 NDrA.tmp.html
20.09.2007 18:13 557 NDr9.tmp.html
20.09.2007 18:12 16.384 Perflib_Perfdata_7e0.dat
20.09.2007 18:11 141 browserview-194e074.htm
20.09.2007 18:10 22.194 Turkish.bin
20.09.2007 18:10 21.901 Norwegian.bin
20.09.2007 18:10 26.001 Hungarian.bin
20.09.2007 18:10 19.487 Hebrew.bin
20.09.2007 18:10 22.793 Finnish.bin
20.09.2007 18:10 24.252 Czech.bin
20.09.2007 18:10 24.999 Portuguese(Brazil).bin
20.09.2007 18:10 24.147 Polish.bin
20.09.2007 18:10 25.003 Greek.bin
20.09.2007 18:10 21.913 Thai.bin
20.09.2007 18:10 20.919 Arabic.bin
20.09.2007 18:10 16.374 SimChin.bin
20.09.2007 18:10 21.857 English.bin
20.09.2007 18:10 26.187 Portuguese.bin
20.09.2007 18:10 24.028 SWEDISH.bin
20.09.2007 18:10 27.689 Spanish.bin
20.09.2007 18:10 26.062 Russian.bin
20.09.2007 18:10 27.330 Italian.bin
20.09.2007 18:10 25.684 German.bin
20.09.2007 18:10 27.178 French.bin
20.09.2007 18:10 16.913 TradChin.bin
20.09.2007 18:10 25.670 Dutch.bin
20.09.2007 18:10 22.704 Danish.bin
20.09.2007 18:10 20.101 Korean.bin
20.09.2007 18:10 24.256 Japanese.bin
20.09.2007 18:09 141 browserview-3450164.htm
20.09.2007 18:09 141 browserview-1954c9c.htm
20.09.2007 18:04 35.515 browserview-194b858.htm
20.09.2007 17:07 4.433 def_oin_thumb.jpg
20.09.2007 17:03 13.592 temp.ani
40 Datei(en) 818.232 Bytes
0 Verzeichnis(se), 10.084.569.088 Bytes frei

Allerknappe04 · 20.09.2007, 18:53

Zusätslich ist bei mir das Problem:
1. Das beim Start von windows manchmal der pc einfach mal abstürtzt ohne irgendwas wieder zu geben
2. Wenn der pc hoch gefahren ist das immer 2 mal die gleiche viren meldung aufgerufen wird obwohl ich die datei immer wieder lösche und zwar die datei: C:\...\!update-4395[1].0000 Ist das Trojanische Pferd TR/Dldr.PurityScan.EE
3.Öfters wenn ich ordner öffne um nach zu gucken wo ich z.b. die datei dllhost finde also in den system32 ordner gehe zeigt er mir auch mehrere Viren z.B. den 'TR/Dldr.Agent.buo.2' oder fast gleichnamige.

Könnt ihr mir vielleicht dabei auch helfen?
Vielleicht spinnt ja einfach das antivir rum oder mein pc ist einfach nur verseucht.
THX
könntet ihr mir mit diesem problem auch weiterhelfen?

Allerknappe04 · 22.09.2007, 18:10

hat keiner ne vorstellung was das sein könnte?

Allerknappe04 · 24.09.2007, 12:56

Warum antwortet keiner ? ist das so schwer zu lösen oder zu leicht...

BataAlexander · 24.09.2007, 13:14

Zitat:

Zitat von Allerknappe04

Warum antwortet keiner ? ist das so schwer zu lösen oder zu leicht...

Es ist schwer zu lösen und erfordert Deine Mitarbeit!

--
ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
--
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Dann sehen wir weiter.

Allerknappe04 · 24.09.2007, 14:54

ComboFix 07-09-21.2 - "Dominic" 2007-09-24 15:33:40.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.564 [GMT 2:00]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Dominic\EIGENE~1\MBOLS~1
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\inetget2
C:\Programme\inetget2\popinstall.exe
C:\Programme\inetget2\WinTouchInstaller_channel1.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\outerinfo.ico
C:\Programme\outerinfo\Terms.rtf
C:\Programme\smbols~1
C:\Programme\smbols~1\s?mbols\
C:\Programme\winpop
C:\Programme\winpop\UnInstall.exe
C:\Programme\winpop\winpop.exe
C:\setup.exe
C:\WINDOWS\icroso~1
C:\WINDOWS\racle~1
C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys
C:\WINDOWS\system32\ecurit~1
C:\WINDOWS\system32\mcroso~1
C:\WINDOWS\system32\mcroso~1\w?nlogon.exe
C:\WINDOWS\system32\wcpsvcc32.exe
C:\WINDOWS\wr.txt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_CORE
-------\core

((((((((((((((((((((((((( Files Created from 2007-08-24 to 2007-09-24 )))))))))))))))))))))))))))))))
.

2007-09-24 15:36 <DIR> d--hs---- C:\found.000
2007-09-24 15:33 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-16 19:16 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-09-16 19:16 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-09-16 19:15 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-09-16 19:11 <DIR> d-------- C:\DOKUME~1\Dominic\ANWEND~1\BearShare
2007-09-16 14:19 <DIR> d-------- C:\DOKUME~1\Dominic\ANWEND~1\DAEMON Tools Pro
2007-09-16 14:16 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-09-14 14:47 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-09-14 14:47 <DIR> d-------- C:\WINDOWS\nview
2007-09-14 14:46 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-09-14 14:46 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-09-13 13:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-09-12 14:39 <DIR> d-------- C:\DOKUME~1\Dominic\ANWEND~1\WinRAR
2007-09-07 16:00 692,257 --a------ C:\WINDOWS\system32\windows_ld.dll
2007-09-05 14:42 22,057 --a------ C:\WINDOWS\War3Unin.dat
2007-09-05 14:42 2,829 --a------ C:\WINDOWS\War3Unin.pif
2007-09-05 14:42 126,976 --a------ C:\WINDOWS\War3Unin.exe
2007-08-28 17:22 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-27 00:35 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-08-27 00:35 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-08-26 22:32 <DIR> d-------- C:\DOKUME~1\Dominic\ANWEND~1\Talkback
2007-08-26 22:31 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-25 03:46 <DIR> d-------- C:\Programme\Azureus
2007-08-25 03:46 <DIR> d-------- C:\DOKUME~1\Dominic\ANWEND~1\Azureus
2007-08-25 01:56 <DIR> d-------- C:\Programme\Microsoft Games
2007-08-25 01:56 <DIR> d-------- C:\Programme\GameSpy Arcade
2007-08-24 20:19 <DIR> d-------- C:\Programme\HMF-Software
2007-08-24 19:58 25,544 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-08-24 19:58 <DIR> d-------- C:\Programme\Hamachi
2007-08-24 19:58 <DIR> d-------- C:\DOKUME~1\Dominic\ANWEND~1\Hamachi
2007-08-24 02:51 <DIR> d-------- C:\WINDOWS\.jagex_cache_32

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-24 15:39 --------- d-------- C:\DOKUME~1\Dominic\ANWEND~1\Xfire
2007-09-20 18:50 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-09-20 18:50 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-09-08 17:04 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-09-05 15:16 --------- d-------- C:\DOKUME~1\Dominic\ANWEND~1\teamspeak2
2007-08-27 00:33 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-07 22:45 66872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-08-07 22:28 --------- d-------- C:\DOKUME~1\NETWOR~1\ANWEND~1\Xfire
2007-08-07 22:20 --------- d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Xfire
2007-08-07 21:54 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-06-29 01:54 356352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-06-29 00:43 8466432 --a------ C:\WINDOWS\system32\nvcpl.dll
2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2007-06-29 00:43 81920 --a------ C:\WINDOWS\system32\nvmctray.dll
2007-06-29 00:43 753664 --a------ C:\WINDOWS\system32\nvcplui.exe
2007-06-29 00:43 6729728 --a------ C:\WINDOWS\system32\nvoglnt.dll
2007-06-29 00:43 6234112 --a------ C:\WINDOWS\system32\nvdisps.dll
2007-06-29 00:43 5690624 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-06-29 00:43 5455872 --a------ C:\WINDOWS\system32\nvdispsr.dll
2007-06-29 00:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2007-06-29 00:43 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2007-06-29 00:43 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2007-06-29 00:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2007-06-29 00:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcodins.dll
2007-06-29 00:43 37376 --a------ C:\WINDOWS\system32\nvcod.dll
2007-06-29 00:43 360448 --a------ C:\WINDOWS\system32\nvapi.dll
2007-06-29 00:43 3600384 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2007-06-29 00:43 3518464 --a------ C:\WINDOWS\system32\nvvitvs.dll
2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2007-06-29 00:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2007-06-29 00:43 3321856 --a------ C:\WINDOWS\system32\nvgames.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrshe.dll
2007-06-29 00:43 327680 --a------ C:\WINDOWS\system32\nvrsar.dll
2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2007-06-29 00:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2007-06-29 00:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2007-06-29 00:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2007-06-29 00:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2007-06-29 00:43 3072000 --a------ C:\WINDOWS\system32\nvgamesr.dll
2007-06-29 00:43 307200 --a------ C:\WINDOWS\system32\nvexpbar.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2007-06-29 00:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2007-06-29 00:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2007-06-29 00:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2007-06-29 00:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2007-06-29 00:43 2854912 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsfr.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrses.dll
2007-06-29 00:43 282624 --a------ C:\WINDOWS\system32\nvrsel.dll
2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvrsit.dll
2007-06-29 00:43 278528 --a------ C:\WINDOWS\system32\nvrsde.dll
2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrspt.dll
2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrsnl.dll
2007-06-29 00:43 274432 --a------ C:\WINDOWS\system32\nvrsesm.dll
2007-06-29 00:43 270336 --a------ C:\WINDOWS\system32\nvrsru.dll
2007-06-29 00:43 266240 --a------ C:\WINDOWS\system32\nvrsptb.dll
2007-06-29 00:43 266240 --a------ C:\WINDOWS\system32\nvrsja.dll
2007-06-29 00:43 262144 --a------ C:\WINDOWS\system32\nvrsko.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrstr.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrssl.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrssk.dll
2007-06-29 00:43 258048 --a------ C:\WINDOWS\system32\nvrshu.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrssv.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrspl.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrsno.dll
2007-06-29 00:43 253952 --a------ C:\WINDOWS\system32\nvrsda.dll
2007-06-29 00:43 249856 --a------ C:\WINDOWS\system32\nvrsfi.dll
2007-06-29 00:43 249856 --a------ C:\WINDOWS\system32\nvrscs.dll
2007-06-29 00:43 245760 --a------ C:\WINDOWS\system32\nvrseng.dll
2007-06-29 00:43 2416640 --a------ C:\WINDOWS\system32\nvwssr.dll
2007-06-29 00:43 2330624 --a------ C:\WINDOWS\system32\nvwss.dll
2007-06-29 00:43 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2007-06-29 00:43 225280 --a------ C:\WINDOWS\system32\nvrszhc.dll
2007-06-29 00:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2007-06-29 00:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2007-06-29 00:43 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2007-06-29 00:43 1703936 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2007-06-29 00:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2007-06-29 00:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1A8EA3BB-697D-29E4-7A04-3DB67F40F0CB}]
C:\WINDOWS\system32\qoxqjin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 08:54 C:\WINDOWS\RTHDCPL.exe]
"avgnt"="F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-09 17:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43]
"nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-03 23:10]
"Nqarmymc"="C:\WINDOWS\system32\M?crosoft\w?nlogon.exe" []
"Crtb"="C:\PROGRA~1\SMBOLS~1\dllhost.exe" []

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-24 15:39:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-24 15:39:35 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-24 15:39
.
--- E O F ---

------------------------

SmitFraudFix v2.227

Scan done at 15:49:08,25, 24.09.2007
Run from C:\Dokumente und Einstellungen\Dominic\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1F24E029-9C3F-413B-BAA4-08D4247B5CB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1F24E029-9C3F-413B-BAA4-08D4247B5CB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1F24E029-9C3F-413B-BAA4-08D4247B5CB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

BataAlexander · 24.09.2007, 16:26

Nun wende CleanUp an wie hier beschrieben.

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt
* C:\VundoFix Backups - löschen + Papierkorb leeren
* erstelle ein neues hjt-logfile und poste es.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Allerknappe04 · 24.09.2007, 17:34

VundoFix hat vorher nach dem scan noch geschrieben Done Searching for files. No infected files were found. deshalb hat er wahrscheinlich auch nicht die desktop datein gelöscht obwohl ich es so gemacht habe wies da stand. naja hoffe mal dass das gut ist

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 18:19:15 24.09.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

Beginning removal...

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 18:21:57 24.09.2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

Logfile of HijackThis v1.99.1
Scan saved at 18:26:58, on 24.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dominic\Desktop\HijackThis.exe

O2 - BHO: (no name) - {1A8EA3BB-697D-29E4-7A04-3DB67F40F0CB} - C:\WINDOWS\system32\qoxqjin.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Nqarmymc] C:\WINDOWS\system32\M?crosoft\w?nlogon.exe
O4 - HKCU\..\Run: [Crtb] "C:\PROGRA~1\SMBOLS~1\dllhost.exe" -vt ndrv
O4 - Startup: Xfire.lnk = F:\Programme\Xfire\xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - F:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Verzeichnis von C:\

24.09.2007 18:24 444 VundoFix.txt
24.09.2007 18:00 1.073.008.640 hiberfil.sys
24.09.2007 18:00 1.610.612.736 pagefile.sys
24.09.2007 15:50 1.778 rapport.txt
24.09.2007 15:39 12.408 ComboFix.txt
24.09.2007 15:39 3.153 ComboFix-quarantined-files.txt

Verzeichnis von C:\WINDOWS\system32

24.09.2007 15:49 0 tmp.txt
24.09.2007 15:49 1.154 tmp.reg
22.09.2007 19:31 13.646 wpa.dbl
20.09.2007 18:50 103.736 PnkBstrB.exe
16.09.2007 19:21 16.832 amcompat.tlb
16.09.2007 19:21 23.392 nscompat.tlb
14.09.2007 18:05 127.254 nvapps.xml
14.09.2007 14:46 664 d3d9caps.dat
14.09.2007 14:46 552 d3d8caps.dat
08.09.2007 17:04 98.304 CmdLineExt.dll
07.09.2007 16:48 692.257 windows_ld.dll
06.09.2007 04:50 17.474.680 MRT.exe
06.09.2007 00:22 289.144 VCCLSID.exe
05.09.2007 22:00 316.594 perfh007.dat
05.09.2007 22:00 39.992 perfc009.dat
05.09.2007 22:00 48.156 perfc007.dat
05.09.2007 22:00 311.604 perfh009.dat
05.09.2007 22:00 723.744 PerfStringBackup.INI
31.08.2007 17:16 249.772 TZLog.log
24.08.2007 21:58 100.640 FNTCACHE.DAT
24.08.2007 02:51 10.384 jupdate-1.5.0_12-b04.log

Verzeichnis von C:\WINDOWS

24.09.2007 18:01 0 0.log
24.09.2007 18:01 2.014.732 WindowsUpdate.log
24.09.2007 18:00 2.048 bootstat.dat
24.09.2007 16:21 22.520 SchedLgU.Txt
24.09.2007 15:49 185.070 setupact.log
24.09.2007 15:47 112.806 ntbtlog.txt
17.09.2007 19:02 50.460 spupdsvc.log
17.09.2007 16:04 128.559 ntdtcsetup.log
17.09.2007 16:04 96.635 iis6.log
17.09.2007 16:04 237.151 tsoc.log
17.09.2007 16:04 214.686 comsetup.log
17.09.2007 16:04 1.374 imsins.log
17.09.2007 16:04 34.059 ocmsn.log
17.09.2007 16:04 5.368 KB929399.log
17.09.2007 16:04 297.537 ocgen.log
17.09.2007 16:04 30.844 msgsocm.log
17.09.2007 16:04 611.289 FaxSetup.log
17.09.2007 16:04 459.904 setupapi.log
17.09.2007 16:04 1.374 imsins.BAK
17.09.2007 16:04 5.098 KB939683.log
17.09.2007 16:04 13.937 KB936782.log
17.09.2007 16:04 38.885 wmsetup.log
16.09.2007 19:31 69 NeroDigital.ini
16.09.2007 19:17 7.945 KB926239.log
16.09.2007 19:17 28.551 updspapi.log
16.09.2007 19:17 6.124 MSCompPackV1.log
16.09.2007 19:16 13.758 wmp11.log
16.09.2007 19:16 1.761 wmsetup10.log
16.09.2007 19:16 507 win.ini
16.09.2007 19:16 24.271 WMFDist11.log
16.09.2007 19:16 316.640 WMSysPr9.prx
16.09.2007 19:15 7.750 Wudf01000Inst.log
16.09.2007 14:29 70.992 DirectX.log
16.09.2007 14:29 330 doom3.ini
05.09.2007 14:55 22.057 War3Unin.dat
05.09.2007 14:42 2.829 War3Unin.pif
05.09.2007 14:42 126.976 War3Unin.exe
31.08.2007 17:16 21.436 KB933360.log
26.08.2007 22:31 0 nsreg.dat

Verzeichnis von C:\WINDOWS\Prefetch

24.09.2007 18:28 10.802 FIND.EXE-0EC32F1E.pf
24.09.2007 18:28 10.732 CMD.EXE-087B4001.pf
24.09.2007 18:27 13.960 NOTEPAD.EXE-336351A9.pf
24.09.2007 18:27 14.470 HIJACKTHIS.EXE-01AB631C.pf
24.09.2007 18:21 15.142 VUNDOFIX.EXE-2E7DEA93.pf
24.09.2007 18:18 74.812 FIREFOX.EXE-28BE8AE1.pf
24.09.2007 18:17 16.564 IMAPI.EXE-0BF740A4.pf
24.09.2007 18:17 46.362 NMIndexStoreSvr.exe-1DBCF9FD.pf
24.09.2007 18:17 9.834 JUSCHED.EXE-02FBAC31.pf
24.09.2007 18:17 45.234 RTHDCPL.EXE-06918CFA.pf
24.09.2007 18:17 53.474 EXPLORER.EXE-082F38A9.pf
24.09.2007 18:17 13.492 USERINIT.EXE-30B18140.pf
24.09.2007 18:17 7.798 WSCNTFY.EXE-1B24F5EB.pf
24.09.2007 18:17 13.632 SKYTEL.EXE-12751D3A.pf
24.09.2007 18:17 22.040 RUNDLL32.EXE-415F88EC.pf
24.09.2007 18:17 53.886 AVGNT.EXE-34DB0DF2.pf
24.09.2007 18:17 7.904 NEROCHECK.EXE-1BD71082.pf
24.09.2007 18:17 13.006 VERCLSID.EXE-3667BD89.pf
24.09.2007 18:17 16.186 LOGONUI.EXE-0AF22957.pf

Verzeichnis von C:\WINDOWS\tasks

24.09.2007 18:01 6 SA.DAT
04.08.2004 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

-

Verzeichnis von C:\DOKUME~1\Dominic\LOKALE~1\Temp

24.09.2007 18:28 122.460 filelist.txt
24.09.2007 18:22 173 jusched.log
24.09.2007 18:17 16.374 SimChin.bin
24.09.2007 18:17 24.999 Portuguese(Brazil).bin
24.09.2007 18:17 21.913 Thai.bin
24.09.2007 18:17 24.252 Czech.bin
24.09.2007 18:17 22.793 Finnish.bin
24.09.2007 18:17 24.147 Polish.bin
24.09.2007 18:17 21.901 Norwegian.bin
24.09.2007 18:17 25.003 Greek.bin
24.09.2007 18:17 19.487 Hebrew.bin
24.09.2007 18:17 26.001 Hungarian.bin
24.09.2007 18:17 20.919 Arabic.bin
24.09.2007 18:17 22.194 Turkish.bin
24.09.2007 18:17 27.330 Italian.bin
24.09.2007 18:17 24.028 SWEDISH.bin
24.09.2007 18:17 25.684 German.bin
24.09.2007 18:17 27.689 Spanish.bin
24.09.2007 18:17 21.857 English.bin
24.09.2007 18:17 26.187 Portuguese.bin
24.09.2007 18:17 26.062 Russian.bin
24.09.2007 18:17 27.178 French.bin
24.09.2007 18:17 20.101 Korean.bin
24.09.2007 18:17 22.704 Danish.bin
24.09.2007 18:17 16.913 TradChin.bin
24.09.2007 18:17 24.256 Japanese.bin
24.09.2007 18:17 25.670 Dutch.bin

BataAlexander · 24.09.2007, 17:51

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {1A8EA3BB-697D-29E4-7A04-3DB67F40F0CB} - C:\WINDOWS\system32\qoxqjin.dll (file missing)
O4 - HKCU\..\Run: [Nqarmymc] C:\WINDOWS\system32\M?crosoft\w?nlogon.exe
O4 - HKCU\..\Run: [Crtb] "C:\PROGRA~1\SMBOLS~1\dllhost.exe" -vt ndrv

dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien/Ordner (wenn vorhanden):

C:\WINDOWS\system32\qoxqjin.dll
C:\WINDOWS\system32\M?crosoft (Ordner)
C:\PROGRA~1\SMBOLS~1
C:\WINDOWS\tasks\desktop.ini

Folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan prüfn lassen und das Ergebnis hier posten.
Incl. Kopf und MD5/SHA

C:\WINDOWS\system32\windows_ld.dll
C:\WINDOWS\system32\TZLog.log

Poste abschließend ein neues HJT Log und die VT Ergebnisse.

Allerknappe04 · 24.09.2007, 19:07

Logfile of HijackThis v1.99.1
Scan saved at 20:06:56, on 24.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_12\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
F:\Programme\Xfire\xfire.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dominic\Desktop\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Xfire.lnk = F:\Programme\Xfire\xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - F:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Datei windows_ld.dll empfangen 2007.09.24 19:42:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.22.0 2007.09.24 -
AntiVir 7.6.0.15 2007.09.24 -
Authentium 4.93.8 2007.09.24 -
Avast 4.7.1043.0 2007.09.24 -
AVG 7.5.0.485 2007.09.24 -
BitDefender 7.2 2007.09.24 -
CAT-QuickHeal 9.00 2007.09.24 -
ClamAV 0.91.2 2007.09.24 -
DrWeb 4.33 2007.09.24 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5159 2007.09.24 -
Ewido 4.0 2007.09.24 -
FileAdvisor 1 2007.09.24 -
Fortinet 3.11.0.0 2007.09.24 -
F-Prot 4.3.2.48 2007.09.23 -
F-Secure 6.70.13030.0 2007.09.24 -
Ikarus T3.1.1.12 2007.09.24 -
Kaspersky 4.0.2.24 2007.09.24 -
McAfee 5126 2007.09.24 -
Microsoft 1.2803 2007.09.24 -
NOD32v2 2547 2007.09.24 -
Norman 5.80.02 2007.09.24 -
Panda 9.0.0.4 2007.09.24 -
Prevx1 V2 2007.09.24 -
Rising 19.42.02.00 2007.09.24 -
Sophos 4.21.0 2007.09.24 -
Sunbelt 2.2.907.0 2007.09.24 -
Symantec 10 2007.09.24 -
TheHacker 6.2.5.067 2007.09.24 -
VBA32 3.12.2.4 2007.09.23 -
VirusBuster 4.3.26:9 2007.09.24 -
Webwasher-Gateway 6.0.1 2007.09.24 -
weitere Informationen
File size: 692257 bytes
MD5: 5deeb0af35fdf509f36d519558140088
SHA1: ed3d88eb763f9afaed8204d859a7b311023c0ee5

Datei TZLog.log empfangen 2007.09.24 19:50:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.22.0 2007.09.24 -
AntiVir 7.6.0.15 2007.09.24 -
Authentium 4.93.8 2007.09.24 -
Avast 4.7.1043.0 2007.09.24 -
AVG 7.5.0.485 2007.09.24 -
BitDefender 7.2 2007.09.24 -
CAT-QuickHeal 9.00 2007.09.24 -
ClamAV 0.91.2 2007.09.24 -
DrWeb 4.33 2007.09.24 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5159 2007.09.24 -
Ewido 4.0 2007.09.24 -
FileAdvisor 1 2007.09.24 -
Fortinet 3.11.0.0 2007.09.24 -
F-Prot 4.3.2.48 2007.09.23 -
F-Secure 6.70.13030.0 2007.09.24 -
Ikarus T3.1.1.12 2007.09.24 -
Kaspersky 4.0.2.24 2007.09.24 -
McAfee 5126 2007.09.24 -
Microsoft 1.2803 2007.09.24 -
NOD32v2 2547 2007.09.24 -
Norman 5.80.02 2007.09.24 -
Panda 9.0.0.4 2007.09.24 -
Prevx1 V2 2007.09.24 -
Rising 19.42.02.00 2007.09.24 -
Sophos 4.21.0 2007.09.24 -
Sunbelt 2.2.907.0 2007.09.24 -
Symantec 10 2007.09.24 -
TheHacker 6.2.5.067 2007.09.24 -
VBA32 3.12.2.4 2007.09.23 -
VirusBuster 4.3.26:9 2007.09.24 -
Webwasher-Gateway 6.0.1 2007.09.24 -
weitere Informationen
File size: 249772 bytes
MD5: 0e6642aecf3f64f8d1d077680897f3a9
SHA1: ff689ab113b746b012f406686605eacd23c39a0a
packers: Unicode
packers: Unicode

Kann es sein das ich denn übeltäter schon gelöscht habe? irgendwie kommen jetzt keine virenmeldungen beim neustart oder die lästige ie werbung...

BataAlexander · 24.09.2007, 19:12

Führe ein Java Update durch! Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Was ist mit Windows / Office? Sind die aktuell?

Abschließend aktualisiere Dein AntiVir und mache einen Vollen SystemScan.
Konfiguriere es vor dem Scan so wie hier beschrieben.

Wenn dort keine Funde mehr auftauchen sollte Dein System clean sein.

Allerknappe04 · 24.09.2007, 20:27

Also hab mein java geupdatet und windows version überprüft.
müsste jetzt alles klar sein nur der virenscan war ein bisschen seltsam mit 26 viren meldungen ich schreib einfach mal den bericht von antivir hier rein:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 24. September 2007 20:34

Es wird nach 848873 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: DOMINIC-6FF015E

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 09.09.2007 15:00:59
AVSCAN.DLL : 7.0.6.0 57384 Bytes 09.09.2007 15:00:59
LUKE.DLL : 7.0.5.3 147496 Bytes 09.09.2007 15:01:02
LUKERES.DLL : 7.0.6.0 10792 Bytes 09.09.2007 15:01:02
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 04:53:48
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 18:27:56
ANTIVIR2.VDF : 7.0.0.4 174592 Bytes 24.09.2007 18:27:56
ANTIVIR3.VDF : 7.0.0.8 18432 Bytes 24.09.2007 18:27:56
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 20.09.2007 14:26:14
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 09.09.2007 15:00:59
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 21:21:23
AVREG.DLL : 7.0.1.6 30760 Bytes 09.09.2007 15:00:59
AVARKT.DLL : 1.0.0.20 278568 Bytes 09.09.2007 15:00:57
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 09.09.2007 15:00:58
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 09.09.2007 15:00:55
RCTEXT.DLL : 7.0.62.0 90152 Bytes 09.09.2007 15:00:55
SQLITE3.DLL : 3.3.17.1 339968 Bytes 09.09.2007 15:01:02

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: f:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 24. September 2007 20:34

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '29342' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xfire.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dominic\Desktop\BearShareV61de.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.PN.361
[INFO] Eine Sicherungskopie wurde unter dem Namen 47590438.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Dominic\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
--> setpath.cfexe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Eine Sicherungskopie wurde unter dem Namen 47650444.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Dominic\Desktop\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 47610443.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Dominic\Desktop\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 475a0445.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Dominic\Desktop\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 476b0445.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\catchme2007-09-24_153855.56.zip
[0] Archivtyp: ZIP
--> core.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Drop.Loader
[INFO] Eine Sicherungskopie wurde unter dem Namen 476c04b5.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\C\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.Age.70144.2
[INFO] Eine Sicherungskopie wurde unter dem Namen 477204b5.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\C\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.Purity.DZ.3
[INFO] Eine Sicherungskopie wurde unter dem Namen 477204b6.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\C\Programme\InetGet2\popinstall.exe.vir
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.T.35
[INFO] Eine Sicherungskopie wurde unter dem Namen 476804c4.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\C\Programme\InetGet2\WinTouchInstaller_channel1.exe.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.btq.127
[INFO] Eine Sicherungskopie wurde unter dem Namen 476604be.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\C\Programme\WinPop\UnInstall.exe.vir
[FUND] Ist das Trojanische Pferd TR/PCK.PolyCrypt.D.225
[INFO] Eine Sicherungskopie wurde unter dem Namen 474104c3.qua erstellt ( QUARANTÄNE )
C:\qoobox\Quarantine\C\Programme\WinPop\winpop.exe.vir
[FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.ach.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 476604bf.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP15\A0004524.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.col.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 47280487.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP16\A0004629.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.VB.baj.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 47280488.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP20\A0006822.exe
[FUND] Ist das Trojanische Pferd TR/Keylog.1025046
[INFO] Eine Sicherungskopie wurde unter dem Namen 4728048e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0021787.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Age.70144.2
[INFO] Eine Sicherungskopie wurde unter dem Namen 472804e4.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0021788.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Purity.DZ.3
[INFO] Eine Sicherungskopie wurde unter dem Namen 4655bcb5.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0021790.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.T.35
[INFO] Eine Sicherungskopie wurde unter dem Namen 472804e6.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0021791.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.btq.127
[INFO] Eine Sicherungskopie wurde unter dem Namen 472804e5.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0021793.exe
[FUND] Ist das Trojanische Pferd TR/PCK.PolyCrypt.D.225
[INFO] Eine Sicherungskopie wurde unter dem Namen 4655bcb6.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0021794.exe
[FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.ach.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 472804e7.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{82EFEB67-CAE9-45BC-A584-EC3E7BEE27FF}\RP39\A0022896.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 472804e8.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\NirCmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 476a052d.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\'
F:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 475a0abc.qua erstellt ( QUARANTÄNE )
F:\Programme\Mozilla Firefox\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 476b0abc.qua erstellt ( QUARANTÄNE )

Ende des Suchlaufs: Montag, 24. September 2007 21:05
Benötigte Zeit: 31:25 min

Der Suchlauf wurde vollständig durchgeführt.

4620 Verzeichnisse wurden überprüft
243359 Dateien wurden geprüft
26 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
25 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
243333 Dateien ohne Befall
2949 Archive wurden durchsucht
6 Warnungen
3 Hinweise
29342 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

BataAlexander · 24.09.2007, 20:42

C:\Dokumente und Einstellungen\Dominic\Desktop\BearShareV61de.exe

Löschen!

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Lösche den Ordner
C:\qoobox

Poste dann ein neues HJT Logfile

Internet explorer öffnet sich

Plagegeister aller Art und deren Bekämpfung: Internet explorer öffnet sich