huhuuu arne!

so, hier noch einmal der highjack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:45, on 24.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\highjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=h**p://www.yahoo.de/]Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=h**p://www.msn.de/]Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]h**p://go.microsoft.com/fwlink/?LinkId=488
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.msn.de/
O15 - Trusted Zone: h**p://poll.chat4free.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - [url]h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - [url]h**p://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132167629984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - [url]h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - [url]h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - h**p://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game18.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - h*p://www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 7527 bytes

und dann auch noch der avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mvixndsi

*******************

Script file located at: \??\C:\WINDOWS\dacbhgxw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\__c008180C.dat not found!
Deletion of file C:\WINDOWS\system32\__c008180C.dat failed!

Could not process line:
C:\WINDOWS\system32\__c008180C.dat
Status: 0xc0000034



File C:\WINDOWS\system32\bmndoull.dll not found!
Deletion of file C:\WINDOWS\system32\bmndoull.dll failed!

Could not process line:
C:\WINDOWS\system32\bmndoull.dll
Status: 0xc0000034



File C:\WINDOWS\system32\dspcrues.exe not found!
Deletion of file C:\WINDOWS\system32\dspcrues.exe failed!

Could not process line:
C:\WINDOWS\system32\dspcrues.exe
Status: 0xc0000034



File C:\WINDOWS\system32\effsqmsv.dll not found!
Deletion of file C:\WINDOWS\system32\effsqmsv.dll failed!

Could not process line:
C:\WINDOWS\system32\effsqmsv.dll
Status: 0xc0000034



File C:\WINDOWS\system32\qwsnvoui.dll not found!
Deletion of file C:\WINDOWS\system32\qwsnvoui.dll failed!

Could not process line:
C:\WINDOWS\system32\qwsnvoui.dll
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5 deleted successfully.
Folder C:\kazaa deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hier ist die listing.txt Datei-Upload.eu - Kostenlos Dateien wie Bilder Programme oder Archive hochladen und verteilen

ich hab mich an dem silentrunners versucht, leider ist mein english nicht so prickelnd, irgendwie schaffe ich das nicht :-(. hab auch schon versucht, eine übersetzung zu finden, leider ohne erfolgt. hast du bei dir eine rumfliegen, womit kleine doofies umgehen können??


die systemwiederherstellung habe ich ausgemacht, und ich benutze nur noch den firefox.

ich denke, du hast recht, wenn das jetzt nicht deutlich besser aussieht, werd ich uns beide erlösen und mir jemanden suchen, der den rechner plattmacht.

asoooooooo, fast vergessen: beim hochfahren bekommen ich jetzt immer eine fehlermeldung: es macht sich ein fenster auf, und er meldet,

C:Windows/System32/cmd.exe (Datei konnte nicht gefunden werden) ist das schlimm? warum macht er das auf einmal? hab ich ausversehen was falsches gelöcht?

danke dir + schönen tag

LG

- jessica :-)

Hi Jessica,

dein HJT-Log sieht erheblich besser aus, ich kann dort keine bösen Einträge mehr ausmachen. Allerdings solltest du mal Java aktualisieren - klick dort auf Download bei Java Runtime Environment (JRE) 6 Update 3.

Der Avenger konnte die meisten Dateien nicht löschen, da sie schon zum Zeitpunkt des Ausführens des Löschvorgangs bereits nicht mehr da waren. Aber zwei weitere Ordner mit verdächtigem/unnötigen Inhalt wurden gelöscht:

Zitat:

Folder C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5 deleted successfully.
Folder C:\kazaa deleted successfully.

Falls du was wichtiges in c:\kazaa noch haben solltest, ist das im backup.zip vom Avenger drin. Ist aber alles mit Vorsicht zu genießen, da gerade Kazaa (bzw. Tauschbörsen allgemein) mit viel Malware daherkommen, Kazaa als übler Spezialfall selbst kommt schon mit Spyware daher. Obendrein ist das meiste Zeuch aus Tauschbörsen eh illegal.

Die Flut der vielen Malwaredateien hat bei deinem System aber offensichtlich nachgelassen, vereinzelt sind noch verdächtige Dateien zu sehen:

Code: Alles auswählenAufklappen

ATTFilter

c:\zip.exe
C:\WINDOWS\system32\drivers\nsosislv.sys
         

Werte die nochmal bei Virustotal aus und poste die Ergebnisse.
Dann seh ich da noch diese Batchdatei: c:\nouhtxsy.bat
Öffne diese mit dem Editor (rechtsklick => Bearbeiten) und kopier den Inhalt hier in ein neues Posting hinein.

Führ auch noch die Tools Silentrunners und Combofix aus und poste die Logfiles.

Mach abschließend wieder ein escan nach Anleitung (mit neuen Siganturen) und dann sehen wir weiter.

Zitat:

asoooooooo, fast vergessen: beim hochfahren bekommen ich jetzt immer eine fehlermeldung: es macht sich ein fenster auf, und er meldet,
C:Windows/System32/cmd.exe (Datei konnte nicht gefunden werden) ist das schlimm? warum macht er das auf einmal? hab ich ausversehen was falsches gelöcht?

cmd.exe ist bei dir in genau diesem Pfad drin, so wie es sein soll, deswegen kann ich diese Meldung jetzt leider nicht nachvollziehen. Ich hoffe Silentrunners/Combofix geben Aufschluss...