hallo an alle.
Habe meinen PC gerade neu aufgesetzt und jetzt schon das erste problem.
hatte auch schon drei virusanzeigen bei antivir. die viren hab ich allerdings in qaurantäne verschoben.

Ich habe folgendes Problem:
Sobald ich bestimmte programme öffne (irgendein spiel spiele, oder ein video über vlc gucke) wird nach ungefähr 10 min das programm ohne fehlermeldung oder ähnlichen abgebrochen.
bitte helft mir, schonmal danke im vorraus

Logfile of HijackThis v1.99.1
Scan saved at 23:54:55, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\windows\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.daemonsearch.com/intl/
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

hatte bis jetzt noch keiner so ein oder so ein ähnliches problem??? bin am verzweifelen, bitte helft mir!!

Hallo

Zitat:

Habe meinen PC gerade neu aufgesetzt

Hast du das Servicepack mit oder ohne Internetverbindung (offline) installiert?

Zitat:

hatte auch schon drei virusanzeigen bei antivir.

Wie wurden diese benannt und wo gefunden (Pfad/Dateiname)?

MFG

Also, servicepack hab ich offline installiert.

Mein Betriebssystem ist Windows XP.

noch hinzu zu fügen ist: das die ein paar tage noch alles normal war konnte auch noch zocken, allerdings an dem ich an meinem pc wieder das internet installiert habe und ein bisschen rumgesurft bin hatte ich erst diesen fehler.

Die namen der Trojaner:

TR/Crypt.XDR.Gen
C:/System Volume Information/_restore{E5647252-E718-415C-9539-59787F2CAFB}/RP17/A0001968.exe
C:/System Volume Information/_restore{E5647252-E718-415C-9539-59787F2CAFB}/RP15/A0001965.exe
C:/Recycler/S-1-5-21-1177238915-492894223-725345543-1003/Dc23.exe

DR/Delphi.Gen
2 mal Gefunden unter C/Dokumente Einstellung/**/Desktop/file.exe
1 mal unter C/Dokumente Einstellung/**/Temporary Internet Files/Content.IE5/B9GKL4UM/payload.exe

TR/SpamBot.NF
C:/Dokumente Einstellung/**/Temporary Internet Files/Content.IE5/016C0RRO/file[1].exe
C:/msntazcg.exe

W95/Blumblebee.1738
C:/Windows/system32/ActiveScan/SET157.tmp

zudem wird mir angezeigt das die datei acces.cni (C:Windows/Help/accses.ini) einen verdächtigen Code: HEUR/Malware, enthält

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar, dann lass diese Dateien :
C/Dokumente Einstellung/**/Desktop/file.exe
C:/msntazcg.exe
C:Windows/Help/accses.ini
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe
der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Danke schonmal für die hilfe

Datei msntazcg.exe

AhnLab-V3 2007.10.3.0 2007.10.02 -

AntiVir 7.6.0.18 2007.10.02 TR/Dldr.Small.ert.24

Authentium 4.93.8 2007.10.02 -

Avast 4.7.1043.0 2007.10.02 -

AVG 7.5.0.488 2007.10.02 Win32/PolyCrypt

BitDefender 7.2 2007.10.02 Trojan.PWS.LDPinch.TAW

CAT-QuickHeal 9.00 2007.10.02 -

ClamAV 0.91.2 2007.10.02 -

DrWeb 4.44.0.09170 2007.10.02 Trojan.Packed.170

eSafe 7.0.15.0 2007.10.01 -

eTrust-Vet 31.2.5179 2007.10.02 Win32/VMalum.YPH

Ewido 4.0 2007.10.02 -

FileAdvisor 1 2007.10.02 -

Fortinet 3.11.0.0 2007.10.02 W32/BED!tr.dldr

F-Prot 4.3.2.48 2007.10.01 -

F-Secure 6.70.13030.0 2007.10.02 Trojan-Downloader.Win32.Small.ert

Ikarus T3.1.1.12 2007.10.02 Trojan-Downloader.Win32.Small.cyn

Kaspersky 7.0.0.125 2007.10.02 Trojan-Downloader.Win32.Small.ert

McAfee 5131 2007.10.01 Downloader-BED

Microsoft 1.2803 2007.10.02 VirTool:Win32/Obfuscator.O

NOD32v2 2566 2007.10.02 -

Norman 5.80.02 2007.10.02 W32/PolyCrypt.A

Panda 9.0.0.4 2007.10.02 Generic Trojan

Prevx1 V2 2007.10.02 Malware.Gen

Rising 19.43.10.00 2007.10.02 -

Sophos 4.22.0 2007.10.02 Mal/EncPk-AW

Sunbelt 2.2.907.0 2007.10.02 VIPRE.Suspicious

Symantec 10 2007.10.02 -

TheHacker 6.2.6.075 2007.10.01 -

VBA32 3.12.2.4 2007.10.02 Trojan-Downloader.Win32.Small.ert

VirusBuster 4.3.26:9 2007.10.01 -

Webwasher-Gateway 6.0.1 2007.10.02 Trojan.Dldr.Small.ert.24

File size: 6421 bytes
MD5: dd35fe0eea9cae2ea595bb9b1c36bf57
SHA1: bc9be211b5b19e9cc5a8472b0f7babf26b038015
Prevx info: Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


access.cni


AhnLab-V3 2007.10.3.0 2007.10.02 -

AntiVir 7.6.0.18 2007.10.02 HEUR/Malware

Authentium 4.93.8 2007.10.02 -

Avast 4.7.1043.0 2007.10.02 -

AVG 7.5.0.488 2007.10.02 -

BitDefender 7.2 2007.10.02 -

CAT-QuickHeal 9.00 2007.10.02 -

ClamAV 0.91.2 2007.10.02 -

DrWeb 4.44.0.09170 2007.10.02 DLOADER.Trojan

eSafe 7.0.15.0 2007.10.01 -

eTrust-Vet 31.2.5179 2007.10.02 -

Ewido 4.0 2007.10.02 -

FileAdvisor 1 2007.10.02 -

Fortinet 3.11.0.0 2007.10.02 -

F-Prot 4.3.2.48 2007.10.01 -

F-Secure 6.70.13030.0 2007.10.02 -

Ikarus T3.1.1.12 2007.10.02 -

Kaspersky 7.0.0.125 2007.10.02 -

McAfee 5132 2007.10.02 -

Microsoft 1.2803 2007.10.02 -

NOD32v2 2566 2007.10.02 -

Norman 5.80.02 2007.10.02 -

Panda 9.0.0.4 2007.10.02 -

Prevx1 V2 2007.10.02 -

Rising 19.43.10.00 2007.10.02 -

Sophos 4.22.0 2007.10.02 -

Sunbelt 2.2.907.0 2007.10.02 -

Symantec 10 2007.10.02 -

TheHacker 6.2.6.075 2007.10.01 -

VBA32 3.12.2.4 2007.10.02 -

VirusBuster 4.3.26:9 2007.10.02 -

Webwasher-Gateway 6.0.1 2007.10.02 Heuristic.Malware

File size: 57856 bytes
MD5: a9ae1a450ac7a62e7b3eff7f1ad2f7b6
SHA1: 9b19428c71919039d6613f96c9d0986e5c239fe4
packers: XORCrypt
packers: XORCrypt
packers: PE-Crypt.XorPE

file.exe

AhnLab-V3 2007.10.3.0 2007.10.02 -

AntiVir 7.6.0.18 2007.10.02 DR/Delphi.Gen

Authentium 4.93.8 2007.10.02 -

Avast 4.7.1043.0 2007.10.02 -

AVG 7.5.0.488 2007.10.02 PSW.Ldpinch.PSQ

BitDefender 7.2 2007.10.02 -

CAT-QuickHeal 9.00 2007.10.02 TrojanPSW.LdPinch.cwj

ClamAV 0.91.2 2007.10.02 -

DrWeb 4.44.0.09170 2007.10.02 Trojan.PWS.LDPinch.1941

eSafe 7.0.15.0 2007.10.01 Suspicious Trojan/Worm


eTrust-Vet 31.2.5179 2007.10.02 -

Ewido 4.0 2007.10.02 -

FileAdvisor 1 2007.10.02 -

Fortinet 3.11.0.0 2007.10.02 W32/LdPinch.CWJ!tr.pws

F-Prot 4.3.2.48 2007.10.01 -

F-Secure 6.70.13030.0 2007.10.02 Trojan-PSW.Win32.LdPinch.cwj

Ikarus T3.1.1.12 2007.10.02 Virus.Win32.Zapchast.DA

Kaspersky 7.0.0.125 2007.10.02 Trojan-PSW.Win32.LdPinch.cwj

McAfee 5132 2007.10.02 -

Microsoft 1.2803 2007.10.02 -

NOD32v2 2566 2007.10.02 -

Norman 5.80.02 2007.10.02 -

Panda 9.0.0.4 2007.10.02 -

Prevx1 V2 2007.10.02 Malware.Gen

Rising 19.43.10.00 2007.10.02 -

Sophos 4.22.0 2007.10.02 Mal/Dropper-T

Sunbelt 2.2.907.0 2007.10.02 -

Symantec 10 2007.10.02 -

TheHacker 6.2.6.075 2007.10.01 -

VBA32 3.12.2.4 2007.10.02 Trojan-PSW.Win32.LdPinch.cwj

VirusBuster 4.3.26:9 2007.10.02 Trojan.Agent.JVF

Webwasher-Gateway 6.0.1 2007.10.02 Trojan.Delphi.Gen

File size: 28672 bytes
MD5: dc94205333154ec673e2d45ed0e32123
SHA1: 7924642fdddf76c06c9e9a51b17ae985532c88e9
Prevx info: Prevx

hmm hat keiner mehr hilfe???

Hallo

erstelle bitte eine Filelist

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

und erstelle ein Log mit Silentrunners

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

filelist

Verzeichnis von C:\

04.10.2007 16:54 804.839.424 hiberfil.sys
04.10.2007 16:54 805.306.368 pagefile.sys
22.09.2007 16:10 0 CONFIG.SYS
22.09.2007 16:10 0 IO.SYS
22.09.2007 16:10 0 MSDOS.SYS
22.09.2007 16:10 0 AUTOEXEC.BAT
22.09.2007 16:04 211 boot.ini
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
02.04.2003 12:00 4.952 bootfont.bin
10 Datei(en) 1.610.449.703 Bytes
0 Verzeichnis(se), 183.688.908.800 Bytes frei

Verzeichnis von C:\WINDOWS\system32

02.10.2007 14:46 2.206 wpa.dbl
30.09.2007 13:20 4.924 jupdate-1.6.0_02-b06.log
28.09.2007 14:29 91.888 FNTCACHE.DAT
27.09.2007 18:24 2.550 Uninstall.ico
27.09.2007 18:24 1.406 Help.ico
27.09.2007 18:24 30.590 pavas.ico
26.09.2007 21:13 578.560 qpnfanfi
26.09.2007 13:56 578.560 user32.dll
23.09.2007 18:52 392.296 perfh009.dat
23.09.2007 18:52 405.118 perfh007.dat
23.09.2007 18:52 58.596 perfc009.dat
23.09.2007 18:52 70.580 perfc007.dat
23.09.2007 18:52 898.932 PerfStringBackup.INI
23.09.2007 17:35 1.391 schecklog.txt
23.09.2007 17:35 1.005 2_ssetup.ini
23.09.2007 17:34 926 1_ssetup.ini
23.09.2007 17:34 0 sunistlog.ini
22.09.2007 17:04 0 h323log.txt
22.09.2007 16:13 261 $winnt$.inf
22.09.2007 16:10 2.951 CONFIG.NT
22.09.2007 16:10 16.832 amcompat.tlb
22.09.2007 16:10 23.392 nscompat.tlb
22.09.2007 16:09 488 logonui.exe.manifest
22.09.2007 16:09 488 WindowsLogon.manifest
22.09.2007 16:09 749 sapi.cpl.manifest
22.09.2007 16:09 749 cdplayer.exe.manifest
22.09.2007 16:09 749 nwc.cpl.manifest
22.09.2007 16:09 749 wuaucpl.cpl.manifest
22.09.2007 16:09 749 ncpa.cpl.manifest
22.09.2007 16:07 21.740 emptyregdb.dat


Verzeichnis von C:\WINDOWS

04.10.2007 19:38 52.224 nibble.exe
04.10.2007 17:00 79.040 WindowsUpdate.log
04.10.2007 16:55 285 lgfwup.ini
04.10.2007 16:55 0 0.log
04.10.2007 16:54 2.048 bootstat.dat
03.10.2007 23:33 6.838 SchedLgU.Txt
02.10.2007 19:32 69 NeroDigital.ini
30.09.2007 22:06 345 OEWABLog.txt
30.09.2007 22:06 390 wmsetup.log
27.09.2007 20:51 316.640 WMSysPr9.prx
26.09.2007 15:47 1.165 mozver.dat
26.09.2007 13:56 143.872 nview.dll
25.09.2007 20:25 0 nsreg.dat
24.09.2007 02:19 996 eReg.dat
23.09.2007 22:23 98.304 system32CmdLineExt.dll
23.09.2007 17:40 25 mixerdef.ini
22.09.2007 16:56 231 system.ini
22.09.2007 16:14 8.192 REGLOCS.OLD
22.09.2007 16:10 0 control.ini
22.09.2007 16:10 477 win.ini
22.09.2007 16:10 4.161 ODBCINST.INI
22.09.2007 16:09 749 WindowsShell.Manifest
22.09.2007 16:06 37 vbaddin.ini
22.09.2007 16:06 36 vb.ini

verzeichnis von C:\WINDOWS\Prefetch

04.10.2007 19:45 10.060 CMD.EXE-087B4001.pf
04.10.2007 19:44 38.134 WINRAR.EXE-3588DFE8.pf
04.10.2007 19:43 21.108 LOGONUI.EXE-0AF22957.pf
04.10.2007 19:38 66.490 NIBBLE.EXE-02551F7B.pf
04.10.2007 19:06 53.152 WMIPRVSE.EXE-28F301A9.pf
04.10.2007 19:06 51.096 HELPSVC.EXE-2878DDA2.pf
04.10.2007 19:05 337.598 Layout.ini
04.10.2007 19:02 5.248 LOGON.SCR-151EFAEA.pf
04.10.2007 18:47 21.438 IMAPI.EXE-0BF740A4.pf
04.10.2007 18:47 109.338 EXPLORER.EXE-082F38A9.pf
04.10.2007 18:47 36.302 DRWTSN32.EXE-2B4B52AC.pf
04.10.2007 18:47 44.432 DWWIN.EXE-30875ADC.pf
04.10.2007 18:46 97.284 ICQ.EXE-3425F561.pf
04.10.2007 17:51 85.600 FIREFOX.EXE-17EE503B.pf
04.10.2007 17:42 75.396 IEXPLORE.EXE-2CA9778D.pf
04.10.2007 16:59 16.786 RUNDLL32.EXE-12E27DD0.pf
04.10.2007 16:57 41.946 UPDATE.EXE-3A80F1D2.pf
04.10.2007 16:57 13.896 PREUPD.EXE-18CBCD87.pf
04.10.2007 16:57 762.236 NTOSBOOT-B00DFAAD.pf
03.10.2007 23:32 7.084 WSCNTFY.EXE-1B24F5EB.pf
03.10.2007 23:32 81.312 FIREFOX.EXE-1D57670A.pf
03.10.2007 23:26 19.732 WUAUCLT.EXE-399A8E72.pf
03.10.2007 17:12 45.382 DFRGNTFS.EXE-269967DF.pf
03.10.2007 17:12 14.502 DEFRAG.EXE-273F131E.pf
03.10.2007 14:49 84.344 AVNOTIFY.EXE-0B59FC42.pf
03.10.2007 13:10 60.066 TMNATIONSESWC.EXE-289F9212.pf
03.10.2007 13:10 10.204 TMN.EXE-06355E5B.pf
03.10.2007 13:10 24.064 TMNATIONSESWCLAUNCHER.EXE-01B09586.pf
03.10.2007 12:30 23.744 CONTROL.EXE-013DBFB5.pf
03.10.2007 12:29 31.370 RUNDLL32.EXE-1831A4F3.pf
03.10.2007 01:34 76.824 ACRORD32.EXE-0BE2C5CE.pf
03.10.2007 01:07 66.226 WINAMP.EXE-08C38ED9.pf
02.10.2007 20:36 22.464 TASKMGR.EXE-20256C55.pf
02.10.2007 20:36 89.672 DUMPREP.EXE-1B46F901.pf
02.10.2007 19:52 49.378 AVSCAN.EXE-0D0CD933.pf
02.10.2007 19:43 16.426 GUARDGUI.EXE-3AFB6D88.pf
02.10.2007 18:11 54.256 AVCENTER.EXE-324B1681.pf
02.10.2007 16:42 53.874 AVCONFIG.EXE-2E17BE74.pf
01.10.2007 13:58 46.764 MMC.EXE-398DCF39.pf
01.10.2007 13:58 11.066 RUNDLL32.EXE-2B626000.pf
01.10.2007 13:57 21.554 RUNDLL32.EXE-29A2BA7C.pf
01.10.2007 13:57 32.346 RUNDLL32.EXE-3910966A.pf
01.10.2007 13:57 19.906 RUNDLL32.EXE-1187FB71.pf
01.10.2007 13:57 25.472 RUNDLL32.EXE-17BD4855.pf
01.10.2007 01:02 17.126 RUNDLL32.EXE-485CD3BD.pf
01.10.2007 00:41 11.422 CALC.EXE-02CD573A.pf
30.09.2007 22:34 10.140 SPOOLSV.EXE-282F76A7.pf
30.09.2007 22:32 14.310 SVCHOST.EXE-3530F672.pf
30.09.2007 22:06 18.232 FWUPDATE.EXE-2A6D5E46.pf
30.09.2007 22:06 21.412 INCD.EXE-33772494.pf
30.09.2007 22:06 13.874 CTFMON.EXE-0E17969B.pf
30.09.2007 22:06 9.306 JUSCHED.EXE-20EE5D4A.pf
30.09.2007 22:06 16.084 PDVDSERV.EXE-1624A5E5.pf
30.09.2007 22:06 8.986 SOUNDMAN.EXE-19745A34.pf
30.09.2007 22:06 6.572 GETODD.EXE-02318860.pf
30.09.2007 22:06 3.554 GETADMIN.EXE-044990FD.pf
30.09.2007 22:06 113.914 MSIEXEC.EXE-2F8A8CAE.pf
30.09.2007 22:06 6.294 NEROCHECK.EXE-092C6DFA.pf
30.09.2007 22:06 54.258 AVGNT.EXE-18356F59.pf
30.09.2007 22:06 8.360 SISUSBRG.EXE-1A6118D0.pf
30.09.2007 22:06 20.336 SHMGRATE.EXE-1BA69E68.pf
30.09.2007 22:06 23.248 RUNDLL32.EXE-286A7F8C.pf
30.09.2007 22:06 10.704 RUNDLL32.EXE-4A9161EE.pf
30.09.2007 22:06 47.944 REGSVR32.EXE-25EEFE2F.pf
30.09.2007 22:06 31.160 ATI2EVXX.EXE-19D16EB9.pf
30.09.2007 22:06 13.328 USERINIT.EXE-30B18140.pf
30.09.2007 22:06 26.056 SETUP50.EXE-0CDEF78F.pf
30.09.2007 22:06 28.698 UNREGMP2.EXE-07CACB61.pf
30.09.2007 22:06 16.178 RUNDLL32.EXE-2AF77CC9.pf
30.09.2007 22:06 14.718 RUNDLL32.EXE-4499C56E.pf
30.09.2007 22:06 14.140 RUNDLL32.EXE-470F11BD.pf
30.09.2007 22:06 33.394 IE4UINIT.EXE-169A5A39.pf
30.09.2007 22:06 13.846 RUNDLL32.EXE-169CA248.pf
30.09.2007 22:05 43.766 MSHTA.EXE-331DF029.pf
30.09.2007 22:05 19.982 RUNDLL32.EXE-19F507BE.pf
30.09.2007 21:29 8.118 WINLOGON.EXE-32C57D49.pf
30.09.2007 16:59 7.328 JAVA.EXE-1980726E.pf
30.09.2007 16:54 17.000 DAEMON.EXE-28AD7272.pf
30.09.2007 16:54 21.676 MSMSGS.EXE-32066BA5.pf
30.09.2007 16:48 47.032 RSTRUI.EXE-03C49A96.pf
30.09.2007 16:34 6.138 CLDRVCHK.EXE-34725F36.pf
30.09.2007 16:34 68.400 PRODUCER.EXE-010889B1.pf
30.09.2007 16:34 7.930 OLRSTATECHECK.EXE-325169CE.pf
30.09.2007 16:28 100.962 VLC.EXE-29851A71.pf
30.09.2007 15:10 19.700 RUNDLL32.EXE-23B3807C.pf
30.09.2007 14:08 37.300 RPCSANDRASRV.EXE-0245FCF2.pf
30.09.2007 14:08 29.600 RPCDATASRV.EXE-207D63F8.pf
30.09.2007 14:08 56.530 SANDRA.EXE-37FD4AD0.pf
30.09.2007 13:20 35.898 JAVAW.EXE-037D6A47.pf
30.09.2007 13:20 43.148 PATCHJRE.EXE-20AA67A5.pf
30.09.2007 13:20 116.224 ZIPPER.EXE-267AD91C.pf
30.09.2007 13:20 21.688 UNPACK200.EXE-087E38E4.pf
30.09.2007 13:20 5.440 LAUNCHER.EXE-2D15694C.pf
30.09.2007 12:34 13.350 NET1.EXE-029B9DB4.pf
30.09.2007 12:34 10.896 CERTMGR.EXE-1E8DB1A3.pf
30.09.2007 12:34 23.336 JDK-6U2-WINDOWS-I586-P-IFTW.E-166F31B1.pf
30.09.2007 12:31 25.048 IS-GHGF8.TMP-0DBC522D.pf
30.09.2007 12:31 24.854 SAN1234.EXE-049B556F.pf
30.09.2007 12:07 20.772 CCLEANER.EXE-065E2F3F.pf
30.09.2007 12:02 24.778 CCSETUP141.EXE-05444226.pf
30.09.2007 11:47 48.014 EASYCLEAN.EXE-05D90D70.pf
29.09.2007 23:55 43.256 HIJACKTHIS.EXE-1140269C.pf
29.09.2007 23:54 36.434 NOTEPAD.EXE-336351A9.pf
27.09.2007 23:46 11.480 RUNDLL32.EXE-451FC2C0.pf
27.09.2007 20:53 69.052 IKERNEL.EXE-092EF074.pf


Verzeichnis von C:\WINDOWS\tasks

04.10.2007 16:54 6 SA.DAT


Verzeichnis von C:\WINDOWS\temp
war leer

Verzeichnis von C:\DOKUME~1\Roul\LOKALE~1\Temp

04.10.2007 19:45 103.635 filelist.txt
04.10.2007 18:46 0 JET582D.tmp
04.10.2007 17:00 1.477 jusched.log
04.10.2007 16:55 16.384 ~DFE91C.tmp
03.10.2007 23:25 16.384 ~DF1F3A.tmp
03.10.2007 12:28 16.384 ~DFB7A1.tmp
02.10.2007 19:32 0 2i828.tmp
02.10.2007 18:02 16.384 ~DFADCA.tmp
02.10.2007 17:58 12.044.199 fla76.tmp
02.10.2007 17:31 22.476.222 GANGBANG_SAMPLER3 .wmv
02.10.2007 15:17 0 JET87E.tmp
02.10.2007 14:46 16.384 ~DFADEF.tmp
01.10.2007 13:12 16.384 ~DFC4F9.tmp
30.09.2007 22:42 16.384 ~DFFD4D.tmp
30.09.2007 21:20 2.048.000 Acr3C.tmp
30.09.2007 21:20 264 Acr3D.tmp
30.09.2007 16:54 16.384 ~DFAC9B.tmp
30.09.2007 16:46 16.384 ~DF3B00.tmp
30.09.2007 15:36 27.199 IUJ_17968.tmp
30.09.2007 15:28 79.739 IUJ_17945.tmp
30.09.2007 15:15 77.309 IUJ_17700.tmp
30.09.2007 15:09 844 java_install_reg.log
30.09.2007 12:45 0 java_install.log
30.09.2007 12:33 1.160 jinstall.cfg
30.09.2007 11:45 16.384 ~DFAF5A.tmp
25 Datei(en) 37.023.888 Bytes
0 Verzeichnis(se), 183.688.790.016 Bytes frei

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"RemoteControl" = ""C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"LGODDFU" = "C:\Programme\lg_fwupdate\fwupdate.exe blrun" ["BL"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Shell" = "c:\windows\explorer.exe" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Nero AG"]


---------- (launch time: 2007-10-04 20:02:38)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 44 seconds.
---------- (total run time: 132 seconds)

Hallo

so langsam könnte aus dem Puzzle ein Bild werden

Lass bitte diese Datei(en) :

Zitat:

C:\WINDOWS\nibble.exe

hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

nibble.exe


AhnLab-V3 2007.10.5.2 2007.10.05 -

AntiVir 7.6.0.20 2007.10.05 BDS/Agent.bxt.1

Authentium 4.93.8 2007.10.04 -

Avast 4.7.1051.0 2007.10.04 -

AVG 7.5.0.488 2007.10.04 BackDoor.Agent.NYJ

BitDefender 7.2 2007.10.05 -

CAT-QuickHeal 9.00 2007.10.05 -

ClamAV 0.91.2 2007.10.05 -

DrWeb 4.44.0.09170 2007.10.05 Trojan.Belka

eSafe 7.0.15.0 2007.10.04 -

eTrust-Vet 31.2.5188 2007.10.05 -

Ewido 4.0 2007.10.04 -

FileAdvisor 1 2007.10.05 -

Fortinet 3.11.0.0 2007.10.05 W32/Agent.BXT!tr.bdr

F-Prot 4.3.2.48 2007.10.04 -

F-Secure 6.70.13030.0 2007.10.05 Backdoor.Win32.Agent.bxt

Ikarus T3.1.1.12 2007.10.05 Backdoor.Win32.Agent.bxt

Kaspersky 7.0.0.125 2007.10.05 Backdoor.Win32.Agent.bxt

McAfee 5134 2007.10.04 -

Microsoft 1.2803 2007.10.04 -

NOD32v2 2573 2007.10.05 -

Norman 5.80.02 2007.10.04 -

Panda 9.0.0.4 2007.10.05 Suspicious file

Prevx1 V2 2007.10.05 Malware.Gen

Rising 19.43.40.00 2007.10.05 -

Sophos 4.22.0 2007.10.05 Mal/Generic-A

Sunbelt 2.2.907.0 2007.10.04 -

Symantec 10 2007.10.05 -

TheHacker 6.2.6.076 2007.10.03 -

VBA32 3.12.2.4 2007.10.03 -

VirusBuster 4.3.26:9 2007.10.04 -

Webwasher-Gateway 6.0.1 2007.10.05 Trojan.Agent.bxt.1



File size: 52224 bytes
MD5: 781a58f582521bb126ba21fbf7c0e9c9
SHA1: ae5b182936457fd889437147a631d43c043a0b20

Hallo

sorry, aber das Ergebnis hatte ich fast erwartet

Zitat:

Zitat von AVLab

Allgemeine Beschreibung:
Backdoor.Win32.Agent.bxt ist ein Backdoor-Programm, das Win32EXE-Anwendungen infiziert und zur Weiterverbreitung nutzt.

Folge bitte dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere unbedingt alle dein Pass- und Kennwörter nach der Neuinstallation.


MFG

Scheisse!!!

aber trotzdem aufjedenfall
Vielen Dank für die hilfe und nochmal danke