HILFE Security Alert(dreieckiges gelbes botton)Trojaner

Shany · 06.11.2007, 22:06

Hey Leute ich hab seit gestern so einen dreieckigen gelben botton unten in der taskleiste....es kommen die ganze zeit so meldungen wie: Security Alert: spyware found...Security Alert: Net Worm-i.virus@fp., System Alert: Malware threats Your computer is infected wiith a black door trojan usw....ausserdem öffnen sich alle 2 min eine software seite...Das ist echt nervig mein pc ist langsamer ich hab schon viele foren durch ich bekommst einfach nicht weg...Laufen lassen hatte ich bisher: Ccleaner, antiwir, smitfraudfix, cureit, und auch noch andere ich wäre euch sehr dankbar wenn ihr mir helft....ich hab mir hijack this runter geladen und kopiere euch mal was kommt wenn ich scane: vielen dank im vorraus..
gruß alex

Logfile of HijackThis v1.99.1
Scan saved at 04:56:32, on 06.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Ganondorf\Desktop\Neuer Ordner\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6983368E-1498-4409-8076-788C491F2AF0} - C:\WINDOWS\system32\wuauengd.dll (file missing)
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\kb124\Dealio.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: browser optimizer by rightonadz - {971C3384-F75E-4562-95B3-CBE7417529BC} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nse82.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\vbhpzprn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O2 - BHO: (no name) - {BCC73622-F72D-4277-803C-D65565A0947F} - C:\WINDOWS\system32\cbxvwtr.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {BDF9F454-A1F4-42BC-A705-C4EC2DA64289} - C:\WINDOWS\system32\ssqpn.dll
O2 - BHO: {d511a358-c51a-4e28-35f4-58c094984ecc} - {cce48949-0c85-4f53-82e4-a15c853a115d} - C:\WINDOWS\system32\tnpxnpif.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Programme\Adssite Advanced Toolbar\toolbar.dll (file missing)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\kb124\Dealio.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\vbhpzprn.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSk in.e xe" /StartupJobs
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Load Bait Coal 16] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Plus Platform 16 Send\loud okay atom.exe
O4 - HKLM\..\Run: [copy bin slow 16] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send acid copy bin\Up Acid.exe
O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\Run: [au] C:\Programme\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [785f7f75] rundll32.exe "C:\WINDOWS\system32\yolvdogk.dll",b
O4 - HKLM\..\Run: [rtasks] C:\Programme\BestsellerAntivirus\rtasks.exe
O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\STORAG~1\ucookw.exe" -start
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\StorageProtector\strpmon.exe" dm=http://storageprotector.com; ad=http://storageprotector.com
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Meet Warn] C:\DOKUME~1\GANOND~1\ANWEND~1\WAYLIV~1\dale drive frag.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\kndsrngl.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Dealio\kb1 24\res\DealioSearch.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?6ba2661380d4460d9de1fe7b46ecaa5a
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?6ba2661380d4460d9de1fe7b46ecaa5a
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb124\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\kb124\Dealio.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mp4: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.de/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094397783342
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: cbxvwtr - C:\WINDOWS\SYSTEM32\cbxvwtr.dll
O20 - Winlogon Notify: vbhpzprn - C:\WINDOWS\SYSTEM32\vbhpzprn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Windows Media Connect (WMC) (WmcCds) - Unknown owner - c:\programme\windows media connect\mswmccds.exe (file missing)
O23 - Service: Windows Media Connect-Hilfsprogramm (WmcCdsLs) - Unknown owner - C:\Programme\Windows Media Connect\mswmcls.exe (file missing)

hoffe das ist richtig cucu

Hab eine antwort bekommen und zwar:

Hallo

du hast einiges an Bord
AdRotator/IconAds
Trojan.Vundo â€“ Symantec.com
http://www.avira.com/de/threats/sect...swizzor.a.html
und evtl. dieser Freund
W32/Gladis-A - Wurm - Sophos Bedrohungsanalyse

Mach bitte alle versteckten Dateien und Ordner sichtbar und lass diese Dateien :

C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\cbxvwtr.dll
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\tnpxnpif.dll
C:\WINDOWS\system32\vbhpzprn.dll

hier Virustotal
hier virscan.org
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Shany · 06.11.2007, 22:56

Alsoo:

Die Datei C:\WINDOWS\Fonts\svchost.exe habe ich nicht gefunden vllt wurde die schon von einen viren programm gelöscht...

Datei cbxvwtr.dll empfangen 2007.11.06 21:56:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/32 (18.75%)

AhnLab-V3 2007.11.7.0 2007.11.06 -
AntiVir 7.6.0.30 2007.11.06 -
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 BHO.CLR
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.06 -
ClamAV 0.91.2 2007.11.06 -
eSafe 7.0.15.0 2007.11.06 -
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 -
F-Secure 6.70.13030.0 2007.11.06 Vundo.gen42
Ikarus T3.1.1.12 2007.11.06 -
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5157 2007.11.06 -
Microsoft 1.3007 2007.11.06 -
NOD32v2 2642 2007.11.06 -
Norman 5.80.02 2007.11.06 Vundo.gen42
Panda 9.0.0.4 2007.11.06 Suspicious file
Prevx1 V2 2007.11.06 SpywareQuake
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 -
Sunbelt 2.2.907.0 2007.11.06 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 Win32.UPXpacked.gen!90 (suspicious)

File size: 35328 bytes
MD5: 3c353965b47f91219f44014ef5938a22
SHA1: 09e3edb5d1413f003f688163db85b87b102c393f

Datei ssqpn.dll empfangen 2007.11.06 22:21:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/31 (16.13%)

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2007.11.7.0 2007.11.06 -
AntiVir 7.6.0.30 2007.11.06 -
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.06 -
AVG 7.5.0.503 2007.11.06 Generic9.LQH
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.06 -
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 -
eSafe 7.0.15.0 2007.11.06 -
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 -
F-Secure 6.70.13030.0 2007.11.06 Vundo.gen41
Ikarus T3.1.1.12 2007.11.06 -
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5157 2007.11.06 Vundo
Microsoft 1.3007 2007.11.06 -
NOD32v2 2642 2007.11.06 -
Norman 5.80.02 2007.11.06 Vundo.gen41
Panda 9.0.0.4 2007.11.06 Suspicious file
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 -
Sunbelt 2.2.907.0 2007.11.06 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 -
weitere Informationen
File size: 326752 bytes
MD5: ea124c698188e98b20d38052e2365efc
SHA1: 0a489380210738436f8caf9fd215181fb8e7b40a

C:\WINDOWS\system32\tnpxnpif.dll wurde auch nicht gefunden....

und nun noch:C:\WINDOWS\system32\vbhpzprn.dll

Datei vbhpzprn.dll empfangen 2007.11.06 22:49:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/32 (59.38%

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.7.0 2007.11.06 -
AntiVir 7.6.0.30 2007.11.06 ADSPY/SecToolBar.H.2
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.06 Win32:SecBar
AVG 7.5.0.503 2007.11.06 Adware Generic2.UCQ
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.06 -
ClamAV 0.91.2 2007.11.06 Adware.Toolbar-87
DrWeb 4.44.0.09170 2007.11.06 Trojan.Hammer
eSafe 7.0.15.0 2007.11.06 -
eTrust-Vet 31.2.5270 2007.11.05 -
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 W32/AdAgent.B.gen!Eldorado
F-Secure 6.70.13030.0 2007.11.06 -
Ikarus T3.1.1.12 2007.11.06 not-a-virus:AdWare.Win32.SecToolBar.h
Kaspersky 7.0.0.125 2007.11.06 not-a-virus:AdWare.Win32.SecToolBar.h
McAfee 5157 2007.11.06 Vundo
Microsoft 1.3007 2007.11.06 Trojan:Win32/Conhook
NOD32v2 2642 2007.11.06 a variant of Win32/Adware.SecToolbar
Norman 5.80.02 2007.11.06 W32/SecToolBar.C
Panda 9.0.0.4 2007.11.06 Spyware/Virtumonde
Prevx1 V2 2007.11.06 Malware.Gen
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 Mal/Behav-010
Sunbelt 2.2.907.0 2007.11.06 -
Symantec 10 2007.11.06 Trojan.Vundo
TheHacker 6.2.9.117 2007.11.06 Adware/SecToolBar.h
VBA32 3.12.2.4 2007.11.06 AdWare.Win32.SecToolBar.h
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 Ad-Spyware.SecToolBar.H.2

weitere Informationen
File size: 340032 bytes
MD5: 6c7077b12e1644d829bec688d02265c1
SHA1: 2189fcdba5cbdbd639fcba5a3877dff78b4a6de4
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=90A1A02040A91C95309B053538517100F2BE1978

so das wars

nochdigger · 07.11.2007, 06:07

Hallo

ich dachte es würde schlimmer kommen

, na gut.

Lade dir dieses Tool -> SmitfraudFix (noch nicht laufen lassen)

Starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

Zitat:

O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O2 - BHO: (no name) - {6983368E-1498-4409-8076-788C491F2AF0} - C:\WINDOWS\system32\wuauengd.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: browser optimizer by rightonadz - {971C3384-F75E-4562-95B3-CBE7417529BC} - C:\WINDOWS\system32\gzmrotate.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nse82.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\vbhpzprn.dll
O2 - BHO: (no name) - {BCC73622-F72D-4277-803C-D65565A0947F} - C:\WINDOWS\system32\cbxvwtr.dll
O2 - BHO: (no name) - {BDF9F454-A1F4-42BC-A705-C4EC2DA64289} - C:\WINDOWS\system32\ssqpn.dll
O2 - BHO: {d511a358-c51a-4e28-35f4-58c094984ecc} - {cce48949-0c85-4f53-82e4-a15c853a115d} - C:\WINDOWS\system32\tnpxnpif.dll
O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Programme\Adssite Advanced Toolbar\toolbar.dll (file missing)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (file missing)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\vbhpzprn.dll
O4 - Startup: TA_Start.lnk = C:\WINDOWS\system32\kndsrngl.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O20 - Winlogon Notify: cbxvwtr - C:\WINDOWS\SYSTEM32\cbxvwtr.dll
O20 - Winlogon Notify: vbhpzprn - C:\WINDOWS\SYSTEM32\vbhpzprn.dll

klicke nun auf - fix checked - und beende Hijackthis.

Arbeite nun bitte umgehend, nach Hijackthis, diese Anleitungen nacheinander ab.
ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab und speichere in als Combofix.txt ab!

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Nutze den Neustart nach Vundofix um in den abgesicherten Modus zu gelangen (beim start F8 drücken).

Anleitung SmitfraudFix:

- Starte Smitfraudfix und lass das System Bereinigen. (Option 2)
- Speichere den rapport.txt

Führe dann bitte einen Neustart in den normalen Modus durch und poste dann wie in der Anleitung beschrieben, das Ergebnis aller Scans.

Danach gehts weiter mit den nächsten Schritten.

MFG

Shany · 07.11.2007, 08:11

hey,
hier die ergebnisse:
Combofix:
ComboFix 07-11-07.3 - Ganondorf 2007-11-07 7:42:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.104 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ganondorf\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Live Safety Center.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\storageprotector
C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\storageprotector\Logs\update.log
C:\Dokumente und Einstellungen\Ganondorf\Favoriten\Online Security Guide.lnk
C:\Dokumente und Einstellungen\Ganondorf\ResErrors.log
C:\Programme\Gemeinsame Dateien\StorageProtector
C:\svchost.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\dmpmaxhy.dll
C:\WINDOWS\system32\npqss.bak1
C:\WINDOWS\system32\npqss.bak2
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\nse82.dll
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\vbhpzprn.dllbox
C:\z.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService

((((((((((((((((((((((( Dateien erstellt von 2007-10-07 bis 2007-11-07 ))))))))))))))))))))))))))))))
.

2007-11-07 07:40 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-07 01:14 87,104 --a------ C:\WINDOWS\system32\lgkfasnd.dll
2007-11-07 01:13 81,472 --a------ C:\WINDOWS\system32\jjqosooy.dll
2007-11-07 01:10 10,816 --a------ C:\WINDOWS\system32\__c005197A.VIR
2007-11-06 05:16 <DIR> d-------- C:\WINDOWS\Content.IE5
2007-11-05 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Grisoft
2007-11-05 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-11-05 22:58 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-05 22:41 <DIR> d-------- C:\Dokumente und Einstellungen\Ganondorf\DoctorWeb
2007-11-05 22:19 4,344 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-05 21:17 <DIR> d-------- C:\Programme\CCleaner
2007-11-05 20:35 <DIR> d-------- C:\Programme\Avira
2007-11-05 20:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-05 14:56 340,032 --ah----- C:\WINDOWS\system32\vbhpzprn.dll
2007-11-05 14:55 340,032 --a------ C:\WINDOWS\system32\itkmnahq.dll
2007-11-05 09:51 <DIR> d-------- C:\Programme\KONAMI
2007-11-05 08:17 786 --a------ C:\4860.bat
2007-11-05 07:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2007-11-05 07:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2007-11-05 07:25 <DIR> d-------- C:\Programme\Winamp
2007-11-05 07:25 <DIR> d-------- C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Winamp
2007-11-05 04:18 1,607,165 --a------ C:\WINDOWS\DragonballZ - Screensaver.scr
2007-11-05 04:18 220,586 --a------ C:\WINDOWS\uninstall DragonballZ - Screensaver.exe
2007-11-05 03:57 <DIR> d-------- C:\Programme\TequilaCursor
2007-11-05 03:24 <DIR> d-------- C:\Programme\themexp
2007-11-05 03:01 786 --a------ C:\9162.bat
2007-11-05 02:47 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-05 02:44 82 --a------ C:\n.bat
2007-11-05 02:43 35,328 --a------ C:\WINDOWS\system32\cbxvwtr.dll
2007-11-05 02:43 786 --a------ C:\4244.bat
2007-11-05 02:43 0 --a------ C:\z.dat
2007-11-05 02:41 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-05 02:31 219,648 --a--c--- C:\WINDOWS\system32\dllcache\uxtheme.dll
2007-11-05 02:18 8,464 --a------ C:\WINDOWS\system32\sporder.dll
2007-11-05 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Dealio
2007-11-05 01:31 <DIR> d-------- C:\Programme\Dealio
2007-11-05 01:29 <DIR> d-------- C:\Programme\OneStepSearch
2007-10-30 17:31 75,776 --a------ C:\WINDOWS\system32\gzmrotate.dll
2007-10-30 01:25 <DIR> d-------- C:\Programme\LittleFighter2
2007-10-24 12:10 1,140 --a------ C:\WINDOWS\mozver.dat
2007-10-23 16:21 <DIR> d-------- C:\Programme\Ghouls 'N Ghosts
2007-10-22 01:55 <DIR> d-------- C:\Programme\Project64 1.6
2007-10-21 23:22 <DIR> d-------- C:\Programme\Project64 v1.5
2007-10-13 02:41 <DIR> d-------- C:\Programme\Adssite Games Collection
2007-10-13 02:41 <DIR> d-------- C:\Programme\Adssite Advanced Toolbar
2007-10-13 02:41 <DIR> d-------- C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Adssite Advanced Toolbar
2007-10-13 02:41 79,875 --a------ C:\WINDOWS\system32\adssite-remove.exe
2007-10-13 02:41 40,733 --a------ C:\WINDOWS\system32\rightonadz-uninst.exe
2007-10-13 02:27 <DIR> d-------- C:\KEEN
2007-10-08 15:31 <DIR> d-------- C:\Programme\Way Live Web

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 06:52 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-11-06 03:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-05 21:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send acid copy bin
2007-11-05 20:05 --------- d-----w C:\Programme\Adverts
2007-11-05 19:48 --------- d-----w C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Way Live Web
2007-11-05 19:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Close Loud Delete Four
2007-11-05 19:36 --------- d-----w C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\LimeWire
2007-11-05 19:34 --------- d-----w C:\Programme\CA
2007-11-05 09:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-05 00:04 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2007-11-05 00:04 --------- d-----w C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\AOL
2007-11-05 00:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL
2007-11-05 00:04 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2007-11-05 00:01 --------- d-----w C:\Programme\Gemeinsame Dateien\aolshare
2007-09-24 22:25 --------- d-----w C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Electronic Arts
2007-09-19 23:25 163,712 ----a-w C:\WINDOWS\system32\drivers\vidstub.sys
2007-09-14 16:33 --------- d-----w C:\Programme\Windows Live
2007-09-14 16:33 --------- d-----w C:\Programme\MSN Messenger
2007-09-14 16:33 --------- d-----w C:\Programme\Messenger Plus! Live
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2004-12-13 14:24:09 8 --sh--r C:\WINDOWS\system32\95F3E34BFE.sys
2004-12-13 14:24:09 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1b66b27d-d6b9-4a62-acd6-08ff8451c8d3}]
2007-11-07 01:13 81472 --a------ C:\WINDOWS\system32\jjqosooy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-06 04:13 340032 --ah----- C:\WINDOWS\system32\vbhpzprn.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\vbhpzprn.dll [2007-11-06 04:13 340032]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [ ]

[HKEY_CLASSES_ROOT\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 03:04]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 15:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 00:07]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-09-28 14:29]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 15:00 C:\WINDOWS\AGRSMMSG.exe]
"Dit"="Dit.exe" [2004-04-02 12:31 C:\WINDOWS\Dit.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50]
"nwiz"="nwiz.exe" [2004-10-29 16:50 C:\WINDOWS\system32\nwiz.exe]
"Cmaudio"="cmicnfg.cpl" []
"CHotkey"="zHotkey.exe" [2004-05-17 18:30 C:\WINDOWS\zHotkey.exe]
"ShowWnd"="ShowWnd.exe" [2003-09-19 09:09 C:\WINDOWS\ShowWnd.exe]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 14:24]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 14:14]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 02:48]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 15:21]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 10:43]
"Load Bait Coal 16"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Plus Platform 16 Send\loud okay atom.exe" []
"copy bin slow 16"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send acid copy bin\Up Acid.exe" []
"hid_start"="C:\WINDOWS\system32\gzmrotate.dll" [2007-10-30 17:31]
"au"="C:\Programme\Dealio\DealioAU.exe" [2007-10-09 12:47]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" []
"785f7f75"="C:\WINDOWS\system32\lgkfasnd.dll" []
"ucookw"="C:\PROGRA~1\STORAG~1\ucookw.exe" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-05 20:38]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-24 22:13]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44]
"Meet Warn"="C:\DOKUME~1\GANOND~1\ANWEND~1\WAYLIV~1\dale drive frag.exe" []
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2007-06-15 00:19]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 19:31]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vbhpzprn]
vbhpzprn.dll 2007-11-06 04:13 340032 C:\WINDOWS\system32\vbhpzprn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ssqpn.dll

R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
R3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys
R3 FA312;NETGEAR FA330/FA312/FA311-Fast Ethernet-Adaptertreiber;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys
S2 WBUSB;Winbond Generic USB Controller;C:\WINDOWS\system32\Drivers\WBUSB.sys
S3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5852ded2-5118-11d9-9820-00038a000015}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d455890-502a-11d9-9813-00038a000015}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8db7bb60-4cf4-11d9-9809-000c76adb990}]
\Shell\AutoRun\command - K:\OEMBranding.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-11-07 06:00:00 C:\WINDOWS\Tasks\AA2E23A29185DCE6.job"
- c:\dokume~1\ganond~1\anwend~1\wayliv~1\Flaw Vc Byte.exe
"2007-11-07 05:57:05 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-07 07:52:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-07 7:55:37 - machine was rebooted
.
--- E O F ---

und Smitfraudfix:
SmitFraudFix v2.250

Scan done at 8:02:49,00, 07.11.2007
Run from C:\Dokumente und Einstellungen\Ganondorf\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EC16F79B-FCD4-472E-A65B-694989469745}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EC16F79B-FCD4-472E-A65B-694989469745}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

so das wars.....
wollte noch fragen was das mit dem hijack gebracht hat und mit dem vundofix für was das gut war...vielen dank schon mal im vorraus

ich hattesmitfaudfix gestern schon mal laufen is das schlimm kann auch mal die alte log datei schicken ok cucu

nochdigger · 07.11.2007, 17:13

Hallo

wenn ich mir das Combofixlog ansehe bekomme ich das Gefühl, dass dein System weitaus stärker befallen ist als zuerst gedacht

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
oder von hier File-Upload.net - Ihr kostenloser File Hoster! <---Find.bat

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

nochdigger · 07.11.2007, 20:14

Hallo

Uups aber hier der richtige Link zum eScan --> http://www.trojaner-board.de/42731-escan-anleitung.html
(hab vergessen, dass in der Vorlage ein falscher Link steht

)

MFG

Shany · 07.11.2007, 22:29

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"LogitechSoftwareUpdate" = "C:\Programme\Logitech\Video\ManifestEngine.exe boot" ["Logitech Inc."]
"Meet Warn" = "C:\DOKUME~1\GANOND~1\ANWEND~1\WAYLIV~1\dale drive frag.exe" [file not found]
"MessengerPlus3" = ""C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart" ["Patchou"]
"STYLEXP" = "C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string]
"Orb" = ""C:\Programme\Winamp Remote\bin\OrbTray.exe" /background" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ehTray" = "C:\WINDOWS\ehome\ehtray.exe" [MS]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Dit" = "Dit.exe" ["ICSI Technology Ltd."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"CHotkey" = "zHotkey.exe" [empty string]
"ShowWnd" = "ShowWnd.exe" [null data]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"LogitechVideoRepair" = "C:\Programme\Logitech\Video\ISStart.exe " ["Logitech Inc."]
"LogitechVideoTray" = "C:\Programme\Logitech\Video\LogiTray.exe" ["Logitech Inc."]
"RealTray" = "C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."]
"BootSkin Startup Jobs" = ""C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs" [empty string]
"Ulead AutoDetector v2" = "C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" ["Ulead Systems, Inc."]
"Load Bait Coal 16" = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Plus Platform 16 Send\loud okay atom.exe" [file not found]
"copy bin slow 16" = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Send acid copy bin\Up Acid.exe" [file not found]
"hid_start" = "C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify" [MS]
"au" = "C:\Programme\Dealio\DealioAU.exe" ["Vendio Services, Inc."]
"Host Process" = "C:\WINDOWS\Fonts\svchost.exe" [file not found]
"785f7f75" = "rundll32.exe "C:\WINDOWS\system32\lgkfasnd.dll",b" [MS]
"ucookw" = ""C:\PROGRA~1\STORAG~1\ucookw.exe" -start" [file not found]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1b66b27d-d6b9-4a62-acd6-08ff8451c8d3}\(Default) = "{3d8c1548-ff80-6dca-26a4-9b6dd72b66b1}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\jjqosooy.dll" [file not found]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{6A87B991-A31F-4130-AE72-6D0C294BF082}\(Default) = (no title provided)
-> {HKLM...CLSID} = "DealioBHO Class"
\InProcServer32\(Default) = "C:\Programme\Dealio\kb124\Dealio.dll" ["Vendio Services, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
-> {HKLM...CLSID} = "Eigene Logitech-Bilder"
\InProcServer32\(Default) = "C:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"InstallVisualStyle" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
{unrecognized setting}

"InstallTheme" = (REG_EXPAND_SZ) C:\WINDOWS\Resources\Themes\Royale.theme
{unrecognized setting}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Ganondorf\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\DRAGON~1.SCR" (DragonballZ - Screensaver.scr) [null data]

Startup items in "Ganondorf" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Smart Wizard Wireless Settings" -> shortcut to: "C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe" [empty string]

Enabled Scheduled Tasks:
------------------------

"AA2E23A29185DCE6" -> launches: "c:\dokume~1\ganond~1\anwend~1\wayliv~1\Flaw Vc Byte.exe" [file not found]
"Auf Updates für Windows Live Toolbar prüfen" -> launches: "C:\Programme\Windows Live Toolbar\MSNTBUP.EXE" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "Windows Live Toolbar"
\InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"
-> {HKLM...CLSID} = "Winamp Toolbar"
\InProcServer32\(Default) = "C:\Programme\Winamp Toolbar\winamptb.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = (no title provided)
-> {HKLM...CLSID} = "Windows Live Toolbar"
\InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}" = (no title provided)
-> {HKLM...CLSID} = "Dealio"
\InProcServer32\(Default) = "C:\Programme\Dealio\kb124\Dealio.dll" ["Vendio Services, Inc."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{5C4C24D0-28B6-4B6B-B70F-E09848367F10}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Dealio"
\InProcServer32\(Default) = "C:\Programme\Dealio\kb124\Dealio.dll" ["Vendio Services, Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{E908B145-C847-4E85-B315-07E2E70DECF8}\
"ButtonText" = "Dealio"
"MenuText" = "Dealio"
"CLSIDExtension" = "{9F038672-0425-4792-BC9C-36DE3308E8AA}"
-> {HKLM...CLSID} = "DealioToolbarHelper Class"
\InProcServer32\(Default) = "C:\Programme\Dealio\kb124\Dealio.dll" ["Vendio Services, Inc."]

{F4430FE8-2638-42E5-B849-800749B94EED}\
"ButtonText" = "PartyPoker.net"
"MenuText" = "PartyPoker.net"
"Exec" = "C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe" [file not found]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*b" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "Tabs" = "%AppData%\Dealio\KB124\res\tabwelcome_en.html"

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
Media Center Receiver Service, ehRecvr, "C:\WINDOWS\eHome\ehRecvr.exe" [MS]
Media Center-Planerdienst, ehSched, "C:\WINDOWS\eHome\ehSched.exe" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
StyleXPService, StyleXPService, ""C:\Programme\TGTSoft\StyleXP\StyleXPService.exe"" [empty string]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

---------- (launch time: 2007-11-07 22:03:07)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 36 seconds, including 3 seconds for message boxes)

Hab MWAV laufen lass hab jez nur eine riesige text datei :File-Upload.net - Ihr kostenloser File Hoster!

danke dir bis dann gruss alex

nochdigger · 08.11.2007, 06:21

Hallo

die Find.bat hab ich dir oben verlinkt

MFG

nochdigger · 09.11.2007, 16:19

Hallo

wenn das mit der Find.bat nicht hinhaut versuchen wir was anderes.

Führe bitte Updates bei AVG sowie Antivir durch und lass beide hintereinander im abgesicherten Modus (beim start F8 drücken) laufen.
Dann erstelle bitte im normalen Modus eine Filelist.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Dann poste bitte auch die Funde von Antivir und AVG

MFG

HILFE Security Alert(dreieckiges gelbes botton)Trojaner

Plagegeister aller Art und deren Bekämpfung: HILFE Security Alert(dreieckiges gelbes botton)Trojaner