Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 10.10.2007, 15:45   #1
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Hallo!

Ich habe das Problem, dass bei mir beim Starten des Computers ein Fenster erscheint, das so lautet:

RUNDLL
Fehler beim Laden von C:\WINDOWS\system32\gzmrotate.dll
Das angegegebene Modul wurde nicht gefunden.

Dazu sollte ich wahrscheinlich sagen, dass sich die Datei mittlerweile nicht mehr bei mir auf dem PC befindet da sie mir von Antivir als Trojaner angezeigt wurde und ich sie dauraufhin gelöscht habe. Der Name des Trojaners lautete TR/Spy.Grizmo.A, falls dies von Bedeutung ist.
Wenn ich jetzt eine Systemüberprüfung mache, dann findet Antivir keine weiteren Bedrohungen, denn letztendlich habe ich die Datei im abgesicherten Modus scheinbar komplett gelöscht.

Trotzdem erscheint dieses Fenster bei jedem Neustart.

Ich habe schon einige Beiträge zu diesem Problem bei google gefunden, doch sollte ich dazu sagen, dass ich wirklich keinen blassen Schimmer von Computerschädlingen habe und somit auch nichts mit Spybot u.a anzufangen weiß.

Bitte helft mir!

Liebe Grüße

Alt 10.10.2007, 15:53   #2
undoreal
/// AVZ-Toolkit Guru
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Huhu.

cCleaner schafft Abhilfe.

Du solltest allerdings danch noch ein HJT log posten!

Gruß

Undoreal
__________________

__________________

Alt 10.10.2007, 16:24   #3
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Okay, ich hab den CCleaner ausgeführt und alles löschen lassen.
Hab danach mal den Computer neugestartet und musste feststellen, dass die RUNDLL-Meldung noch immer erscheint. Wäre ja auch zu schön gewesen. Was nun?

Ich hab dann aber auch gleich mal ein HJT logfile erstellen lassen. Also hier ist es:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:33, on 10.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\twinkmds.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsr19.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: rightonadz browser optimizer - {971C3384-F75E-4562-95B3-CBE7417529BC} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Zune Launcher] "C:\Programme\Zune\ZuneLauncher.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\twinkmds.exe P2D002
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\twinkmds.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10423 bytes
__________________

Alt 10.10.2007, 16:29   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Da scheint noch mehr Mist im System zu sein:

Code:
ATTFilter
C:\WINDOWS\system32\twinkmds.exe
C:\WINDOWS\system32\nsr19.dll
         
Werte diese mal online bei Virustotal aus und poste sämtliche Ergebnisse inkl. Angaben zu Dateigrößen bzw. Prüfsummen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.10.2007, 19:43   #5
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Hier die erste Datei:

Datei twinkmds.exe empfangen 2007.10.10 20:30:22 (CET)

Ergebnis: 10/32 (31.25%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.11.0 2007.10.10 -
AntiVir 7.6.0.20 2007.10.10 ADSPY/ZenoSearch.S
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.10 -
AVG 7.5.0.488 2007.10.10 Adware Generic2.TAC
BitDefender 7.2 2007.10.10 -
CAT-QuickHeal 9.00 2007.10.10 -
ClamAV 0.91.2 2007.10.10 Adware.ZenoSearch
DrWeb 4.44.0.09170 2007.10.10 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5201 2007.10.10 -
Ewido 4.0 2007.10.10 -
FileAdvisor 1 2007.10.10 -
Fortinet 3.11.0.0 2007.10.10 -
F-Prot 4.3.2.48 2007.10.09 -
F-Secure 6.70.13030.0 2007.10.10 -
Ikarus T3.1.1.12 2007.10.10 -
Kaspersky 7.0.0.125 2007.10.10 -
McAfee 5138 2007.10.10 potentially unwanted program Adware-Zeno
Microsoft 1.2908 2007.10.10 Adware:Win32/ZenoSearch
NOD32v2 2584 2007.10.10 -
Norman 5.80.02 2007.10.10 -
Panda 9.0.0.4 2007.10.10 Suspicious file
Prevx1 V2 2007.10.10 Malware.Gen
Rising 19.44.22.00 2007.10.10 -
Sophos 4.22.0 2007.10.10 ZenoSearch
Sunbelt 2.2.907.0 2007.10.10 -
Symantec 10 2007.10.10 Adware.ZenoSearch
TheHacker 6.2.6.082 2007.10.10 -
VBA32 3.12.2.4 2007.10.10 -
VirusBuster 4.3.26:9 2007.10.10 -
Webwasher-Gateway 6.0.1 2007.10.10 Ad-Spyware.ZenoSearch.S

weitere Informationen
File size: 192584 bytes
MD5: dc208efa11271207c3ab864557b0d75a
SHA1: 2177c4152c6335c831c1312383ccdfc4d4c8e8e1
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9BCF5F1448CD68FFF08B02BD4C426E000326CDB5


Alt 10.10.2007, 19:51   #6
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Und hier noch die zweite:

Datei nsr19.dll empfangen 2007.10.10 20:43:42 (CET)

Ergebnis: 9/32 (28.13%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.11.0 2007.10.10 -
AntiVir 7.6.0.20 2007.10.10 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.10 -
AVG 7.5.0.488 2007.10.10 Adware Generic2.TBI
BitDefender 7.2 2007.10.10 -
CAT-QuickHeal 9.00 2007.10.10 AdWare.BHO.ha (Not a Virus)
ClamAV 0.91.2 2007.10.10 -
DrWeb 4.44.0.09170 2007.10.10 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5201 2007.10.10 -
Ewido 4.0 2007.10.10 -
FileAdvisor 1 2007.10.10 -
Fortinet 3.11.0.0 2007.10.10 Adware/Heuri
F-Prot 4.3.2.48 2007.10.09 -
F-Secure 6.70.13030.0 2007.10.10 -
Ikarus T3.1.1.12 2007.10.10 -
Kaspersky 7.0.0.125 2007.10.10 not-a-virus:AdWare.Win32.BHO.ha
McAfee 5138 2007.10.10 -
Microsoft 1.2908 2007.10.10 BrowserModifier:Win32/Fotomoto
NOD32v2 2584 2007.10.10 -
Norman 5.80.02 2007.10.10 W32/BHO.AHS
Panda 9.0.0.4 2007.10.10 -
Prevx1 V2 2007.10.10 -
Rising 19.44.22.00 2007.10.10 -
Sophos 4.22.0 2007.10.10 Fotomoto
Sunbelt 2.2.907.0 2007.10.10 -
Symantec 10 2007.10.10 -
TheHacker 6.2.6.082 2007.10.10 -
VBA32 3.12.2.4 2007.10.10 AdWare.Win32.BHO.ha
VirusBuster 4.3.26:9 2007.10.10 -
Webwasher-Gateway 6.0.1 2007.10.10 Worm.Win32.UPXpacked.gen!94 (suspicious)

weitere Informationen
File size: 62464 bytes
MD5: 13aeadfd08da909d91ecc22fc4ec5ab0
SHA1: 88d08181c4fbb0dbdcf48f55ea64ff0bd85ee3f6
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX

Alt 10.10.2007, 20:01   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Mit HijackThis könntest du schonmal was fixen:

Code:
ATTFilter
O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsr19.dll
O2 - BHO: rightonadz browser optimizer - {971C3384-F75E-4562-95B3-CBE7417529BC} - (no file)
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\twinkmds.exe P2D002
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\twinkmds.exe
         
Und Java solltest du updaten!

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.10.2007, 17:44   #8
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Hier die Auswertung von eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.6
Sprache: German
Virus-Datenbank Datum: 10/11/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\dwdsrngt.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nsr19.dll//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.ha". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8BAZR2EG\backups\backup-20071010-212919-385.dll//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.ha". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP128\A0019116.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\dwdsrngt.exe markiert als "not-a-virus:AdWare.Win32.ZenoSearch.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\nsr19.dll//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.BHO.ha". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene musik\zune\landon pigg\lp
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\zune\landon pigg\lp
Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene musik\zune\landon pigg\lp
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\***\Desktop\Google_Earth_BZXW.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Desktop\Google_Earth_BZXW.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3RNFB2DI\mwav[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\SoftwareDistribution\Download\d74423b0281b40e407bbd650f8a43645\BIT3E.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\Tools\STAMPIT\MICROSOFT\IEXPLORE\5\DE\IE_S2.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 146816
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 7459
Dauer des Scans bisher: 01:23:41
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:06:14,35
Batchende: 18:06:52,23

Alt 11.10.2007, 18:04   #9
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Hier der log von Silentrunner:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"TVBroadcast" = "C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe" ["ODSoft multimedia"]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Zune Launcher" = ""C:\Programme\Zune\ZuneLauncher.exe"" [MS]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}" = "OODefrag"
-> {HKLM...CLSID} = "OODShellExtObj Class"
\InProcServer32\(Default) = "C:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{3FCEF010-09A4-11D4-8D3B-D12F9D3D8B02}" = "TIShelEx Shell Extension"
-> {HKLM...CLSID} = "FileTimeShlExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\TISHAR~1\TICONN~1\TIShlExt.dll" ["Texas Instruments Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
OODefrag\(Default) = "{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}"
-> {HKLM...CLSID} = "OODShellExtObj Class"
\InProcServer32\(Default) = "C:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
OODefrag\(Default) = "{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}"
-> {HKLM...CLSID} = "OODShellExtObj Class"
\InProcServer32\(Default) = "C:\PROGRA~1\OOSOFT~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"AllowLegacyWebView" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"AllowUnhashedWebView" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"InstallVisualStyle" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
{unrecognized setting}

"InstallTheme" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale.theme
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\Eigene Bilder\Japan\miyavi\3(2).png"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\davinci.scr" [MS]


Startup items in "***" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"HP Image Zone Schnellstart" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe -s" [null data]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"MenuText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared Files\RichVideo.exe"" [empty string]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Media Center Extender Service, McrdSvc, "C:\WINDOWS\ehome\mcrdsvc.exe" [MS]
Media Center Receiver Service, ehRecvr, "C:\WINDOWS\eHome\ehRecvr.exe" [MS]
Media Center-Planerdienst, ehSched, "C:\WINDOWS\eHome\ehSched.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"]
Sceneo PVR Service, srvcPVR, "C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe" ["Buhl Data Service GmbH"]
TVEnhance Background Capture Service (TBCS), TVECapSvc, ""C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe"" [empty string]
TVEnhance Task Scheduler (TTS)), TVESched, ""C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe"" [empty string]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
X10 Device Network Service, x10nets, "C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe" ["X10"]
Zune Network Sharing Service, ZuneNetworkSvc, "C:\Programme\Zune\ZuneNss.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt12\Driver = "hpzsnt12.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2007-10-11 18:55:26)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 15 seconds.
---------- (total run time: 47 seconds)

Alt 11.10.2007, 18:30   #10
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Und hier schliesslich die filelist:

Verzeichnis von C:\

11.10.2007 18:48 1.072.156.672 hiberfil.sys
11.10.2007 18:48 1.610.612.736 pagefile.sys
11.10.2007 17:51 0 23990098.$$$
11.10.2007 16:24 268 sqmdata05.sqm
11.10.2007 16:24 244 sqmnoopt05.sqm
11.10.2007 16:11 268 sqmdata04.sqm
11.10.2007 16:11 244 sqmnoopt04.sqm
10.10.2007 21:54 268 sqmdata03.sqm
10.10.2007 21:54 244 sqmnoopt03.sqm
10.10.2007 17:43 268 sqmdata02.sqm
10.10.2007 17:43 244 sqmnoopt02.sqm
10.10.2007 17:11 268 sqmdata01.sqm
10.10.2007 17:11 244 sqmnoopt01.sqm
10.10.2007 16:23 268 sqmdata00.sqm
10.10.2007 16:23 244 sqmnoopt00.sqm
10.10.2007 16:09 268 sqmdata19.sqm
10.10.2007 16:09 244 sqmnoopt19.sqm
10.10.2007 15:43 209 boot.ini
10.10.2007 15:31 268 sqmdata18.sqm
10.10.2007 15:31 244 sqmnoopt18.sqm
09.10.2007 21:33 268 sqmdata17.sqm
09.10.2007 21:33 244 sqmnoopt17.sqm
09.10.2007 19:31 268 sqmdata16.sqm
09.10.2007 19:31 244 sqmnoopt16.sqm
08.10.2007 21:23 268 sqmdata15.sqm
08.10.2007 21:23 244 sqmnoopt15.sqm
08.10.2007 17:40 268 sqmdata14.sqm
08.10.2007 17:40 244 sqmnoopt14.sqm
08.10.2007 16:53 268 sqmdata13.sqm
08.10.2007 16:53 244 sqmnoopt13.sqm
07.10.2007 21:42 268 sqmdata12.sqm
07.10.2007 21:42 244 sqmnoopt12.sqm
07.10.2007 13:11 268 sqmdata11.sqm
07.10.2007 13:11 244 sqmnoopt11.sqm
06.10.2007 18:40 268 sqmdata10.sqm
06.10.2007 18:40 244 sqmnoopt10.sqm
06.10.2007 12:57 268 sqmdata09.sqm
06.10.2007 12:57 244 sqmnoopt09.sqm
05.10.2007 22:52 268 sqmdata08.sqm
05.10.2007 22:52 244 sqmnoopt08.sqm
05.10.2007 22:24 268 sqmdata07.sqm
05.10.2007 22:24 244 sqmnoopt07.sqm
05.10.2007 15:49 268 sqmdata06.sqm
05.10.2007 15:49 244 sqmnoopt06.sqm
28.12.2006 23:16 1.120 INSTALL.LOG
29.09.2006 14:36 251.712 ntldr
29.09.2006 13:36 0 IO.SYS
29.09.2006 13:36 0 AUTOEXEC.BAT
29.09.2006 13:36 0 MSDOS.SYS
29.09.2006 13:36 0 CONFIG.SYS

Verzeichnis von C:\WINDOWS\system32

11.10.2007 18:48 2.206 wpa.dbl
11.10.2007 18:48 88.565 nvapps.xml
11.10.2007 18:48 164.415 OODBS.lor
11.10.2007 16:40 552 d3d8caps.dat
10.10.2007 21:35 5.686 jupdate-1.6.0_03-b05.log
10.10.2007 14:26 927 winpfz32.sys
04.10.2007 17:33 40.733 rightonadz-uninst.exe
04.10.2007 16:29 21 zxdnt3d.cfg
04.10.2007 16:29 192.584 twinkmds.exe
04.10.2007 16:29 118 msnav32.ax
03.10.2007 21:13 57.358 dwdsrngt.exe
03.10.2007 21:12 79.832 adssite-remove.exe
30.09.2007 19:32 230.392 FNTCACHE.DAT
28.09.2007 07:19 18.089.592 MRT.exe
25.09.2007 16:59 62.464 nsr19.dll
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe

Verzeichnis von C:\WINDOWS

11.10.2007 18:49 1.762.738 WindowsUpdate.log
11.10.2007 18:48 0 0.log
11.10.2007 18:48 69 NeroDigital.ini
11.10.2007 18:48 159 wiadebug.log
11.10.2007 18:48 50 wiaservc.log
11.10.2007 18:48 2.048 bootstat.dat
11.10.2007 16:27 650 win.ini
11.10.2007 16:27 26 Lic.xxx
11.10.2007 16:26 94.058 ntbtlog.txt
11.10.2007 16:24 32.618 SchedLgU.Txt
10.10.2007 21:36 616 setupapi.log
10.10.2007 15:43 227 system.ini
01.10.2007 17:26 69.446 hpoins05.dat
01.10.2007 16:46 69.057 hpoins05.dat.temp
30.09.2007 17:34 400 ODBC.INI
10.09.2007 20:30 754 WORDPAD.INI

Verzeichnis von C:\WINDOWS\Prefetch

11.10.2007 19:25 11.136 FIND.EXE-0EC32F1E.pf
11.10.2007 19:25 15.760 CMD.EXE-087B4001.pf
11.10.2007 19:24 74.272 NOTEPAD.EXE-336351A9.pf
11.10.2007 19:22 35.358 WINRAR.EXE-3588DFE8.pf
11.10.2007 19:21 118.164 IEXPLORE.EXE-2CA9778D.pf
11.10.2007 19:21 17.198 RUNDLL32.EXE-2E5AF1D7.pf
11.10.2007 19:18 181.190 DAVINCI.SCR-28BEDC30.pf
11.10.2007 19:09 14.538 VERCLSID.EXE-3667BD89.pf
11.10.2007 18:55 77.010 WMIPRVSE.EXE-28F301A9.pf
11.10.2007 18:55 29.898 WSCRIPT.EXE-32960AB9.pf
11.10.2007 18:49 84.086 WUAUCLT.EXE-399A8E72.pf
11.10.2007 18:49 11.936 HPRBLOG.EXE-260F36AD.pf
11.10.2007 18:49 89.470 ICQ.EXE-3425F561.pf
11.10.2007 18:49 123.620 HPQGALRY.EXE-01295486.pf
11.10.2007 18:49 22.422 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
11.10.2007 18:49 43.806 ODSBCAPP.EXE-3B8D2A55.pf
11.10.2007 18:49 57.720 HPQTHB08.EXE-059C512F.pf
11.10.2007 18:49 46.840 READER_SL.EXE-1EA4C8B2.pf
11.10.2007 18:49 10.688 JUSCHED.EXE-309E47F8.pf
11.10.2007 18:49 60.858 ZUNELAUNCHER.EXE-01CE47C1.pf
11.10.2007 18:49 14.110 CTFMON.EXE-0E17969B.pf
11.10.2007 18:49 68.226 MSNMSGR.EXE-091111D0.pf
11.10.2007 18:49 55.038 IMAPI.EXE-0BF740A4.pf
11.10.2007 18:49 17.192 OSA.EXE-0082CBE3.pf
11.10.2007 18:49 28.418 APDPROXY.EXE-0812A8C4.pf
11.10.2007 18:49 1.104.890 NTOSBOOT-B00DFAAD.pf
11.10.2007 16:24 17.078 LOGONUI.EXE-0AF22957.pf
11.10.2007 16:20 10.706 REG.EXE-0D2A95F7.pf
11.10.2007 16:20 10.908 FINDSTR.EXE-0CA6274B.pf
11.10.2007 16:20 5.826 MORE.COM-32DCB7E4.pf
11.10.2007 16:19 59.612 SCANNINGPROCESS.EXE-394C5224.pf
11.10.2007 16:19 16.380 MWAVL.EXE-07D3F5B4.pf
11.10.2007 16:19 40.080 MEXE.COM-07D956C0.pf
11.10.2007 16:19 76.040 MWAV.EXE-04B78B89.pf
11.10.2007 16:16 19.310 ZUNESETUP.EXE-261896D6.pf
11.10.2007 16:16 75.202 ZUNE.EXE-298F1F84.pf
11.10.2007 16:13 54.494 WGATRAY.EXE-0ED38BED.pf
11.10.2007 16:13 59.364 ALG.EXE-0F138680.pf
11.10.2007 16:13 64.836 DLLHOST.EXE-5353C76C.pf
11.10.2007 16:13 20.898 RUNDLL32.EXE-35A483DA.pf
11.10.2007 16:13 12.570 WSCNTFY.EXE-1B24F5EB.pf
11.10.2007 16:11 15.354 _IU14D2N.TMP-07D68F8B.pf
11.10.2007 16:11 17.992 UNINS000.EXE-322F758F.pf
11.10.2007 16:11 26.530 REGSVR32.EXE-25EEFE2F.pf
11.10.2007 16:11 66.166 ACRORD32.EXE-153330F0.pf
11.10.2007 16:10 9.098 JAVA.EXE-0967259C.pf
11.10.2007 16:05 44.850 RTHDCPL.EXE-06918CFA.pf
11.10.2007 16:05 54.126 AVGNT.EXE-36CA4640.pf
11.10.2007 16:05 10.704 ALCMTR.EXE-235F9538.pf
11.10.2007 16:05 7.316 NEROCHECK.EXE-1BD71082.pf
11.10.2007 16:05 19.968 RUNDLL32.EXE-415F88EC.pf
10.10.2007 21:54 46.724 DISKCLEANER.EXE-015A6E3D.pf
10.10.2007 21:53 76.314 REGISTRYCLEANER.EXE-2ACFEEF7.pf
10.10.2007 21:53 60.780 SYSTEMOPTIMIZER.EXE-191231CF.pf
10.10.2007 21:53 37.534 ONECLICKMAINTENANCE.EXE-1D493D41.pf
10.10.2007 21:52 55.988 AVSCAN.EXE-05AECC0E.pf
10.10.2007 21:35 51.824 JAVAW.EXE-2826389B.pf
10.10.2007 21:35 43.052 PATCHJRE.EXE-203CCF34.pf
10.10.2007 21:35 39.692 UNPACK200.EXE-09A3E822.pf
10.10.2007 21:35 44.386 LAUNCHER.EXE-1ACDCBCD.pf
10.10.2007 21:34 74.400 ZIPPER.EXE-0236362E.pf
10.10.2007 21:34 113.020 MSIEXEC.EXE-2F8A8CAE.pf
10.10.2007 21:30 56.766 JINSTALL.EXE-1346D4C2.pf
10.10.2007 21:27 36.362 HIJACKTHIS[1].EXE-0204AC17.pf
10.10.2007 21:18 66.238 DFRGNTFS.EXE-269967DF.pf
10.10.2007 21:18 48.654 DEFRAG.EXE-273F131E.pf
10.10.2007 21:18 602.896 Layout.ini
10.10.2007 20:54 58.886 AVCENTER.EXE-37584419.pf
10.10.2007 20:54 36.768 RUNDLL32.EXE-2BF3472E.pf
10.10.2007 20:51 45.242 CCLEANER.EXE-065E2F3F.pf
10.10.2007 20:34 18.866 TASKMGR.EXE-20256C55.pf
10.10.2007 20:30 29.684 SCHED.EXE-236A886F.pf
10.10.2007 20:30 50.186 AVGUARD.EXE-3490B18B.pf
10.10.2007 20:30 43.508 UPDATE.EXE-13D57D76.pf
10.10.2007 20:30 29.828 UPDATE.EXE-2BCF4AC3.pf
10.10.2007 20:29 95.408 AVNOTIFY.EXE-22AE9451.pf
10.10.2007 20:29 14.306 PREUPD.EXE-358AA1C1.pf
10.10.2007 20:28 55.150 TWINKMDS.EXE-2FF680B5.pf
10.10.2007 20:28 48.618 RUNDLL32.EXE-17C4FCA4.pf
10.10.2007 17:17 21.250 HIJACKTHIS.EXE-35870263.pf
10.10.2007 17:11 78.222 RUNDLL32.EXE-44A0B4BC.pf
10.10.2007 17:03 23.618 CCSETUP201.EXE-0DC428B4.pf
10.10.2007 16:11 27.940 TEATIMER.EXE-38E505A8.pf
10.10.2007 15:43 33.342 MSCONFIG.EXE-35E4DAE9.pf
10.10.2007 15:41 53.912 ADOBEUPDATER.EXE-370FC314.pf
10.10.2007 15:35 101.120 SPYBOTSD.EXE-1D495A65.pf
10.10.2007 15:31 11.990 DUMPREP.EXE-1B46F901.pf
10.10.2007 15:25 21.850 HIJACKTHIS202[1].EXE-30FC45E4.pf
10.10.2007 15:05 64.604 SDUPDATE.EXE-30CF90C0.pf
10.10.2007 14:57 19.166 SPYBOTSD_INCLUDES.EXE-2ECCAE98.pf
10.10.2007 14:55 14.138 IS-OBP07.TMP-23AF6241.pf
10.10.2007 14:55 16.226 SPYBOTSD151.EXE-206A89C1.pf
09.10.2007 19:33 65.388 UPDATE.EXE-00A45158.pf
09.10.2007 19:32 21.154 WINDOWS-KB890830-V1.34-DELTA.-22438D3E.pf
09.10.2007 19:32 53.254 MRT.EXE-1B4A8D49.pf
09.10.2007 19:32 50.938 MRTSTUB.EXE-2E8904EF.pf
09.10.2007 19:32 59.174 UPDATE.EXE-104AEE7F.pf
09.10.2007 19:31 58.454 UPDATE.EXE-15A084F0.pf
09.10.2007 19:29 26.926 GUARDGUI.EXE-1BD45C30.pf
09.10.2007 19:26 53.854 UPDATE.EXE-1A9081D7.pf
09.10.2007 19:26 58.556 UPDATE.EXE-01CC71C2.pf
09.10.2007 19:25 35.668 LJDSRNGS.EXE-08538BDD.pf
08.10.2007 20:59 14.966 HPZENG12.EXE-07E42CEC.pf
08.10.2007 20:59 16.390 HPZSTC12.EXE-2A807C2C.pf
08.10.2007 20:58 80.050 COMPONENTLAUNCHER.EXE-10A25719.pf
08.10.2007 20:58 12.198 RUNDLL32.EXE-268BFF96.pf
08.10.2007 20:52 24.538 RUNDLL32.EXE-459695D1.pf
08.10.2007 20:52 70.938 WINWORD.EXE-259486DA.pf
08.10.2007 17:39 105.812 WMPLAYER.EXE-0996933B.pf
08.10.2007 17:30 68.294 WMPLAYER.EXE-09969338.pf
08.10.2007 16:58 80.468 LIMEWIRE.EXE-1CE6208C.pf
08.10.2007 16:56 81.666 USERINIT.EXE-30B18140.pf
08.10.2007 16:56 126.182 EXPLORER.EXE-082F38A9.pf
07.10.2007 12:58 15.986 HPZTBX12.EXE-1D337D89.pf
07.10.2007 12:15 74.184 HELPSVC.EXE-2878DDA2.pf
07.10.2007 12:08 6.282 LOGON.SCR-151EFAEA.pf
06.10.2007 18:22 12.162 RUNDLL32.EXE-451FC2C0.pf
06.10.2007 15:25 47.532 WMPLAYER.EXE-09969337.pf
06.10.2007 15:23 29.576 ZUNESHARE.EXE-09EFF251.pf
06.10.2007 15:19 27.606 SETUP_WM.EXE-19AC5A9B.pf
06.10.2007 12:49 65.512 WMPLAYER.EXE-0996933A.pf
04.10.2007 18:52 35.176 SBSINGLE.EXE-3540B1B6.pf
04.10.2007 17:34 17.034 RUNDLL32.EXE-3C83155D.pf
04.10.2007 17:33 15.088 S2O4-2309E265.pf
04.10.2007 16:33 53.946 AVCONFIG.EXE-3B8B9C26.pf

Verzeichnis von C:\WINDOWS\tasks

11.10.2007 18:48 6 SA.DAT
14.09.2007 17:15 406 1-Klick-Wartung.job

Verzeichnis von C:\WINDOWS\temp

11.10.2007 19:21 255 WGAErrLog.txt
11.10.2007 18:48 409 WGANotify.settings
11.10.2007 18:48 0 JET6C75.tmp
10.10.2007 17:13 0 T30DebugLogFile.txt
01.10.2007 17:14 678 hpzcoi25.log
01.10.2007 17:14 734 hpzcoi24.log
01.10.2007 17:14 596 hpzcoi23.log
01.10.2007 17:14 596 hpzcoi22.log
01.10.2007 17:14 278 servic009.log
01.10.2007 17:14 380 servic008.log
01.10.2007 17:14 931 CIO_NDCS.log
01.10.2007 17:11 671 hpzcoi21.log
01.10.2007 17:11 918 hpzcoi20.log
01.10.2007 17:11 596 hpzcoi19.log
01.10.2007 17:11 596 hpzcoi18.log
01.10.2007 17:11 278 servic007.log
01.10.2007 17:08 3.387 hpdj00srv01.log
01.10.2007 17:07 328 hpzglue01.log

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

11.10.2007 19:25 129.778 filelist.txt
11.10.2007 19:07 798.234 IMT8.xml
11.10.2007 19:07 426 IMT7.xml
11.10.2007 19:07 2.036 IMT6.xml
11.10.2007 18:53 1.202 jusched.log
11.10.2007 18:49 16.384 ~DF487D.tmp
11.10.2007 18:49 0 JETD253.tmp
11.10.2007 18:47 18.356.736 MWAV.LOG
11.10.2007 18:47 449.748 sfdb.dat
11.10.2007 17:51 2.220.173 MWAVC.LOG
11.10.2007 17:51 2.105.027 mwXface.log
11.10.2007 16:27 1.174 Download.log
11.10.2007 16:27 0 download.lck
11.10.2007 16:27 0 filelist.lst
11.10.2007 16:27 351 EUpdate.ini
11.10.2007 16:20 1.432 zunelog00.sqm
11.10.2007 16:19 626.688 msvcr80.dll
11.10.2007 16:19 548.864 msvcp80.dll
11.10.2007 16:19 241.664 MYDB.DLL
11.10.2007 10:28 34.867 fa.avc
11.10.2007 10:28 27.776 avp.klb
11.10.2007 10:28 26.540 ext009.avc
11.10.2007 10:28 1.871 daily-ex.avc
11.10.2007 10:28 43.307 daily.avc
11.10.2007 10:28 23.283 unp039.avc
11.10.2007 10:28 1.871 daily-ex.avx
11.10.2007 10:28 48.991 base154.avc
11.10.2007 10:28 48.750 base013.avc
11.10.2007 10:28 48.825 unp034.avc
11.10.2007 10:28 698 daily-ec.avc
11.10.2007 10:28 17.855 ext005c.avc
11.10.2007 10:28 6.117 dailyc.avc
11.10.2007 10:28 43.354 base054c.avc
11.10.2007 10:28 13.584 kernel.avc
11.10.2007 10:28 14.803 fa001.avc
10.10.2007 21:36 1.540 java_install_reg.log
10.10.2007 21:34 0 java_install.log
10.10.2007 21:30 1.275 jinstall.cfg
10.10.2007 19:00 56.320 reload.exe
10.10.2007 18:58 43.520 setpriv.exe
10.10.2007 18:54 167.936 esupdate.exe
10.10.2007 18:49 122.880 avpmhook.dll
10.10.2007 17:46 38.912 unregx.exe
10.10.2007 17:42 1.949.696 msvl64.dll
10.10.2007 17:33 430.656 mwavscan.com
10.10.2007 17:33 430.656 mexe.com
10.10.2007 17:29 143.360 msvlclnt.dll
10.10.2007 17:20 44.608 Getvlist.exe
09.10.2007 19:35 16.384 ~DFB119.tmp
09.10.2007 17:57 161.770 Spyware.sdb
09.10.2007 17:57 728.535 Dir.sdb
09.10.2007 17:57 254.378 spydb.old
09.10.2007 17:57 1.373.593 File2.sdb
09.10.2007 17:57 254.378 spydb.avs
09.10.2007 17:57 2.097.481 File1.sdb
09.10.2007 17:57 1.271.953 Cid.sdb
09.10.2007 11:42 3.864 avp_ext.set
09.10.2007 11:42 3.864 avp.set
09.10.2007 11:42 3.864 avp_x.set
09.10.2007 11:42 79.039 ca.avc
09.10.2007 11:42 21.293 gen005.avc
09.10.2007 11:42 48.257 unp037.avc
09.10.2007 11:42 40.706 unp031.avc
09.10.2007 11:42 38.328 unp020.avc
09.10.2007 11:42 64.894 unp016.avc
09.10.2007 11:42 53.207 unp015.avc
09.10.2007 11:42 75.991 unp007.avc
09.10.2007 11:42 55.741 unp006.avc
09.10.2007 11:42 23.526 unp000.avc
09.10.2007 11:42 50.368 base150.avc
09.10.2007 11:42 50.363 base142.avc
09.10.2007 11:42 47.952 base139.avc
09.10.2007 11:42 52.973 base095.avc
09.10.2007 11:42 49.237 base088.avc
09.10.2007 11:42 49.821 base082.avc
09.10.2007 11:42 50.527 base081.avc
09.10.2007 11:42 49.254 base073.avc
09.10.2007 11:42 49.114 base055.avc
09.10.2007 11:42 50.134 base056.avc
09.10.2007 11:42 49.605 base058.avc
09.10.2007 11:42 50.729 base051.avc
09.10.2007 11:42 49.350 base046.avc
09.10.2007 11:42 47.736 base038.avc
09.10.2007 11:42 49.495 base029.avc
09.10.2007 11:42 47.119 base028.avc
09.10.2007 11:42 50.160 base023.avc
09.10.2007 11:42 46.280 base027.avc
09.10.2007 11:42 49.095 base018.avc
09.10.2007 11:42 49.086 base021.avc
09.10.2007 11:42 48.519 base017.avc
09.10.2007 11:42 48.622 base010.avc
09.10.2007 11:42 50.044 base045c.avc
09.10.2007 11:42 36.796 krn004.avc
09.10.2007 11:42 119.284 krnunp.avc
09.10.2007 11:42 43.401 krnengn.avc
08.10.2007 21:00 204.935 phupdn.txt
08.10.2007 20:58 1.238 TWAIN.LOG
08.10.2007 20:58 5 Twain001.Mtx
08.10.2007 20:58 156 Twunk001.MTX
08.10.2007 20:46 18.427 global.daz
08.10.2007 20:46 60.227 phupdn.txz
08.10.2007 16:57 2.848 AC9.tmp
07.10.2007 18:12 200 ACC.tmp
07.10.2007 18:12 200 ACB.tmp
06.10.2007 17:42 1.412 AC8.tmp
06.10.2007 15:19 12.818 control.xml
06.10.2007 15:14 4.784 AC7.tmp
05.10.2007 10:03 48.943 unp030.avc
05.10.2007 10:03 49.509 unp027.avc
05.10.2007 10:03 63.799 unp023.avc
05.10.2007 10:03 42.088 unp022.avc
05.10.2007 10:03 40.004 unp026.avc
05.10.2007 10:03 61.564 unp019.avc
05.10.2007 10:03 53.936 unp003.avc
05.10.2007 10:03 51.264 unp005.avc
05.10.2007 10:03 25.758 unp004.avc
05.10.2007 10:03 68.103 unp002.avc
05.10.2007 10:03 49.964 base153.avc
05.10.2007 10:03 50.103 base141.avc
05.10.2007 10:03 54.674 base144.avc
05.10.2007 10:03 48.302 base014.avc
05.10.2007 10:03 50.444 base053c.avc
05.10.2007 10:03 50.000 base020c.avc
05.10.2007 10:03 50.098 base052c.avc
03.10.2007 12:33 90.996 Chinese.Age
03.10.2007 12:33 110.439 Icelandic.Age
03.10.2007 12:33 115.349 Polish.Age
03.10.2007 12:33 112.207 Finnish.Age
03.10.2007 12:33 116.504 French.Age
03.10.2007 12:33 115.397 Spanish.Age
03.10.2007 12:33 116.118 Spanishl.Age
03.10.2007 12:33 111.149 Romanian.Age
03.10.2007 12:33 124.130 Portuguese.Age
03.10.2007 12:33 122.760 Italian.Age
03.10.2007 12:33 125.547 German.Age
03.10.2007 12:33 125.547 language.ini
03.10.2007 10:17 48.583 unp038.avc
03.10.2007 10:17 42.214 unp032.avc
03.10.2007 10:17 48.701 unp033.avc
03.10.2007 10:17 52.451 unp011.avc
03.10.2007 10:17 46.589 unp001.avc
03.10.2007 10:17 49.630 base068.avc
03.10.2007 10:17 50.002 base127.avc
03.10.2007 10:17 49.994 base039c.avc
03.10.2007 10:17 103.182 krn005.avc
01.10.2007 17:55 50.365 base038c.avc
01.10.2007 17:55 50.529 base037c.avc
28.09.2007 10:04 55.805 unp014.avc
28.09.2007 10:04 50.576 base146.avc
28.09.2007 10:04 49.550 base031.avc
28.09.2007 10:04 48.988 base030.avc
28.09.2007 10:04 49.260 base022.avc
28.09.2007 10:04 48.258 base015.avc
25.09.2007 11:50 50.222 base152.avc
25.09.2007 11:50 49.814 ext004c.avc
25.09.2007 11:50 50.271 base051c.avc
25.09.2007 11:50 49.981 base050c.avc
25.09.2007 11:50 50.049 base049c.avc
21.09.2007 17:08 11.209 English.con
21.09.2007 14:17 4.225 Chinese.dow
21.09.2007 14:17 5.326 Icelandic.dow
21.09.2007 14:17 5.595 Finnish.dow
21.09.2007 14:17 6.227 Polish.dow
21.09.2007 14:17 6.105 French.dow
21.09.2007 14:17 5.757 Spanish.dow
21.09.2007 14:17 6.124 Spanishl.dow
21.09.2007 14:17 5.659 Romanian.dow
21.09.2007 14:17 6.048 Portuguese.dow
21.09.2007 14:17 5.681 Italian.dow
21.09.2007 14:17 5.812 German.dow
21.09.2007 14:17 5.812 Download.lan
20.09.2007 15:51 500.736 Download.exe
20.09.2007 15:51 5.316 English.dow
19.09.2007 15:14 49.931 base110.avc
17.09.2007 18:53 48.406 base016.avc
17.09.2007 18:31 15.148 config.lan
17.09.2007 18:31 15.148 German.con
17.09.2007 09:43 50.068 base151.avc
16.09.2007 17:22 50.286 base006c.avc
16.09.2007 12:17 732 esupd.ini
14.09.2007 17:18 51.867 English.Age
13.09.2007 20:29 385.024 MDownload.exe
13.09.2007 10:03 50.325 base012c.avc
11.09.2007 11:49 44.526 base048c.avc

Alt 11.10.2007, 22:52   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Okay soweit, ein paar dateien musst du "manuell" löschen, geh dazu so vor:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\dwdsrngt.exe
C:\WINDOWS\system32\nsr19.dll
C:\WINDOWS\system32\winpfz32.sys
C:\WINDOWS\system32\rightonadz-uninst.exe
C:\WINDOWS\system32\zxdnt3d.cfg
C:\WINDOWS\system32\twinkmds.exe
C:\WINDOWS\system32\snav32.ax
C:\WINDOWS\system32\adssite-remove.exe
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Deaktiviere die Systemwiederherstellung.
6.) Poste den Inhalt der C:\avenger.txt Datei.
7.) Führe dieses script aus (rechtsklick, speichern unter auf Desktop, dann doppelklicken) - das erzeugte "listing.txt" auf dem Desktop mir mailen oder auf rapidshare hochladen und hier verlinken (listing.txt ist zu groß ein Beitrag hier).
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.10.2007, 15:20   #12
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\evtawgtr

*******************

Script file located at: \??\C:\WINDOWS\system32\triorkfy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\dwdsrngt.exe deleted successfully.
File C:\WINDOWS\system32\nsr19.dll deleted successfully.
File C:\WINDOWS\system32\winpfz32.sys deleted successfully.
File C:\WINDOWS\system32\rightonadz-uninst.exe deleted successfully.
File C:\WINDOWS\system32\zxdnt3d.cfg deleted successfully.
File C:\WINDOWS\system32\twinkmds.exe deleted successfully.


File C:\WINDOWS\system32\snav32.ax not found!
Deletion of file C:\WINDOWS\system32\snav32.ax failed!

Could not process line:
C:\WINDOWS\system32\snav32.ax
Status: 0xc0000034

File C:\WINDOWS\system32\adssite-remove.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 15.10.2007, 18:48   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Ok soweit. Was ist mit der Listing.txt?
Führ auch mal gleich dieses Tool aus.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.10.2007, 12:17   #14
bumblebee
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Hier ist das logfile von Combofix. Ist das eigentlich normal, das avira antivir nebenbei andauernd meldungen von unerwünschten programmen/viren gibt??? hab die jetzt erstmal in quarantäne verschoben.


ComboFix 07-10-17.8@ - *** 2007-10-20 13:08:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.519 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-20 bis 2007-10-20 ))))))))))))))))))))))))))))))
.

2007-10-20 13:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-16 13:35 <DIR> d-------- C:\Dokumente und Einstellungen\***\temporary internet files
2007-10-11 16:40 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-11 16:28 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-11 16:20 <DIR> d-------- C:\bases_x
2007-10-11 16:19 153,600 --a------ C:\WINDOWS\R.COM
2007-10-11 16:19 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-10 17:03 <DIR> d-------- C:\Programme\CCleaner
2007-10-10 15:29 <DIR> d-------- C:\WINDOWS\pss
2007-10-10 14:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-03 21:12 <DIR> d-------- C:\Programme\Adssite Games Collection
2007-10-03 21:12 <DIR> d-------- C:\Programme\Adssite Advanced Toolbar
2007-10-03 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adssite Advanced Toolbar
2007-10-01 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Image Zone Express
2007-10-01 17:10 69,446 --a------ C:\WINDOWS\hpoins05.dat
2007-10-01 17:10 19,696 --------- C:\WINDOWS\hpomdl05.dat
2007-09-23 17:38 0 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-20 10:56 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2007-10-16 13:07 --------- d-----w C:\Programme\STAMPIT
2007-10-16 12:23 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire
2007-10-10 19:35 --------- d-----w C:\Programme\Java
2007-10-01 15:16 --------- d-----w C:\Programme\HP
2007-09-30 15:35 --------- d-----w C:\Programme\Microsoft Works
2007-09-27 15:51 --------- d-----w C:\Programme\microsoft frontpage
2007-09-16 08:25 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
2007-09-09 18:12 --------- d-----w C:\Programme\TI Education
2007-09-09 18:11 --------- d-----w C:\Programme\Gemeinsame Dateien\TI Shared
2007-09-09 18:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-01 10:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
2007-08-23 18:35 --------- d-----w C:\Programme\ICQ6
2007-08-22 07:54 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
2007-08-22 07:50 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Bookmarks
2007-08-22 07:48 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\NeroDCTemplates
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-03-18 12:14 306 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
2006-10-09 11:55:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 11:50 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 16:38]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 20:30]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"Zune Launcher"="C:\Programme\Zune\ZuneLauncher.exe" [2006-10-31 14:34]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 14:00]
"TVBroadcast"="C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe" [2006-10-19 23:43]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-12 23:36]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"=1 (0x1)
"AllowUnhashedWebView"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"ehTray"=C:\WINDOWS\ehome\ehtray.exe
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
"SetIcon"=\Programme\SMSC\SetIcon.exe
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys
R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe"
R2 TVESched;TVEnhance Task Scheduler (TTS));"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe"
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-09-14 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-20 13:10:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-20 13:10:50
.
--- E O F ---

Alt 20.10.2007, 18:31   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Standard

Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart



Zitat:
das avira antivir nebenbei andauernd meldungen von unerwünschten programmen/viren gibt??? hab die jetzt erstmal in quarantäne verschoben.
Das ist nat. NICHT normal! Welche Schädlinge findet der denn wo? Vllt. könntest du mal das AntiVir-Log posten. Die listing.txt kann ich mir erst später anschauen, sitz grad an einem anderen Rechner und hab deine Mail mit dem Anhang hier nicht drauf.
__________________
Logfiles bitte immer in CODE-Tags posten

Thema geschlossen

Themen zu Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart
abgesicherten, abgesicherten modus, antivir, beim starten, c:\windows, datei, dll-meldung, fehler, fenster, gelöscht, google, komplett, laden, modul, modus, neustart, neustart., nicht mehr, nichts, problem, spybot, starten, system, system32, systemüberprüfung, trojaner, windows, wirklich




Ähnliche Themen: Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart


  1. Meldung RunDLL Program Files (x86)\HomeTab\TBUpdater.dll
    Log-Analyse und Auswertung - 26.10.2014 (28)
  2. Fehlermeldung: RunDLL Meldung beim Systemstart
    Plagegeister aller Art und deren Bekämpfung - 29.11.2013 (7)
  3. roper0dun.exe RunDLL Fehler immer nach dem Hochfahren von Windows 7, Exe gelöscht
    Log-Analyse und Auswertung - 25.09.2012 (13)
  4. Polizeivirus RunDLL Meldung
    Log-Analyse und Auswertung - 25.09.2012 (1)
  5. RunDLL Meldung beim Start
    Plagegeister aller Art und deren Bekämpfung - 09.09.2012 (4)
  6. RunDLL Meldung beim Start
    Alles rund um Windows - 05.08.2012 (2)
  7. RunDLL Fehler Meldung Modul nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 02.07.2012 (5)
  8. RunDLL Fehler NameFunEx IE Meldung Taskmanager gesperrt
    Log-Analyse und Auswertung - 15.04.2012 (23)
  9. RUNDLL nach dem Neustart
    Plagegeister aller Art und deren Bekämpfung - 17.01.2011 (10)
  10. runDLL Meldung nach löschen von Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (0)
  11. einige Malware gelöscht, jetzt Rundll ismsti.dll
    Log-Analyse und Auswertung - 26.09.2010 (30)
  12. Rundll Fehler Meldung
    Alles rund um Windows - 21.02.2010 (1)
  13. Systemstart rundll-Meldung und hartnäckiger Trojaner/Spyware Befall
    Log-Analyse und Auswertung - 27.01.2009 (4)
  14. Grafiktreiber nach Neustart gelöscht
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (0)
  15. RUNDLL fehler meldung
    Alles rund um Windows - 09.07.2007 (2)
  16. Benutzereinstellung bei Windows gelöscht bei Neustart
    Alles rund um Windows - 28.12.2006 (2)
  17. se.dll erfolgreich gelöscht, jedoch seitdem RUNDLL-Fehlermeldung
    Plagegeister aller Art und deren Bekämpfung - 17.03.2005 (3)

Zum Thema Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart - Hallo! Ich habe das Problem, dass bei mir beim Starten des Computers ein Fenster erscheint, das so lautet: RUNDLL Fehler beim Laden von C:\WINDOWS\system32\gzmrotate.dll Das angegegebene Modul wurde nicht gefunden. - Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart...

Alle Zeitangaben in WEZ +1. Es ist jetzt 17:14 Uhr.


Copyright ©2000-2024, Trojaner-Board
Archiv
Du betrachtest: Trojaner gelöscht - nun RUNDLL-Meldung bei Neustart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.