Ladefehler in Modul windows/system32/xdfyyeof.dll

Giesskanne · 26.11.2007, 11:20

Hallo Trojaner Board!
Mein Avira Antivir hat den Trojaner TR/Vundo.Gen gemeldet in der Datei Windows/system32/sstrp.dll . Nach Recherche hier habe ich das Programm Vundo.exe laufen lassen. Dieser hat eine Datei gefunden die ich problem entfernen konnte. Nun meldet mir mein Rechner beim Starten das die Datei windows/system32/xdfyyeof.dll Rundll nicht gestartet werden kann.

Wer kann mir helfen???

Grüße Giesskanne

Chris4You · 26.11.2007, 11:36

Hi,

bitte HJ-Log abarbeiten (siehe Signatur)... und posten...
(Es müsste mit dem Teufel zu gehen, wenn die alleine wäre...),
zusätzlich noch datfind posten:

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
Datfindbat

Chris

Giesskanne · 26.11.2007, 12:02

Hallo Chris!

Ich muss mich erstmal für meine Unwissenheit entschuldigen. Hatte noch nie Probleme mit sowas und kenn mich nicht so sehr gut aus.
Mein System Windows XP. Ich arbeite mich bereits in die Themen ein!

Folgendes hat der HJ Ausgegeben:

Logfile of HijackThis v1.99.1
Scan saved at 11:39:51, on 26.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AdvancedCleaner Free\UADCcw.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {787F5E00-BD7E-4968-B6B1-91A16EA74FDE} - C:\WINDOWS\System32\sstrp.dll (file missing)
O2 - BHO: (no name) - {78F60DC2-6480-4FF8-94E6-5038D46A02AC} - C:\WINDOWS\System32\odbcintd.dll
O2 - BHO: {c9c239f0-3cda-0829-9ed4-14ad88dc1fc8} - {8cf1cd88-da41-4de9-9280-adc30f932c9c} - C:\WINDOWS\System32\lkgdfimy.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [2629165f] rundll32.exe "C:\WINDOWS\System32\xdfyyeof.dll",b
O4 - HKLM\..\Run: [AdvancedCleaner Free] "C:\Programme\AdvancedCleaner Free\UADC.exe" /min
O4 - HKLM\..\Run: [UADCDE_2131784769] "C:\Programme\AdvancedCleaner Free\UADCcw.exe" -c
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - h**p://download.abetterinternet.com/download/cabs/FON14006/thin.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\__c00EB69E.dat
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: iifec - C:\WINDOWS\System32\iifec.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Die Dafindbat hat folgendes ergeben: (wie gewünscht nur die letzen 3 MOnate)

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.07.2006 15:33 155 DivXPlugin.inf
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
19.12.2003 15:43 241 popcaploader.inf
08.12.2003 13:58 3.759 swflash.inf
09.10.2003 10:32 144 QTPlugin.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
23.06.2003 18:39 65 desktop.ini
7 Datei(en) 6.929 Bytes
0 Verzeichnis(se), 17.062.936.576 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\

26.11.2007 11:51 0 sys.txt
26.11.2007 11:51 600 down.txt
26.11.2007 11:50 3.004 tmp.txt
26.11.2007 11:50 12.609 system.txt
26.11.2007 11:50 776 systemtemp.txt
26.11.2007 11:50 96.988 system32.txt
26.11.2007 10:34 780.140.544 pagefile.sys
26.11.2007 10:34 519.622.656 hiberfil.sys
26.11.2007 02:18 812 VundoFix.txt
16.01.2007 22:43 194 BOOT.INI
16.10.2006 13:31 232 sqmdata02.sqm
16.10.2006 13:31 244 sqmnoopt02.sqm
16.10.2006 13:30 244 sqmnoopt01.sqm
16.10.2006 13:30 268 sqmdata01.sqm
14.10.2006 22:23 268 sqmdata00.sqm
14.10.2006 22:23 244 sqmnoopt00.sqm
08.06.2006 19:51 2 BAD
08.12.2004 00:55 34 AUTOEXEC.BAT
29.01.2004 14:26 6 ISACER.ID
08.07.2003 18:31 69 PRELOAD.AAA
23.06.2003 18:50 90 setup.log
23.06.2003 18:40 0 IO.SYS
23.06.2003 18:40 0 MSDOS.SYS
23.06.2003 17:54 512 BOOTSECT.DOS
02.04.2003 12:00 4.952 bootfont.bin
02.04.2003 12:00 235.296 ntldr
02.04.2003 12:00 47.580 NTDETECT.COM
27 Datei(en) 1.300.168.224 Bytes
0 Verzeichnis(se), 17.062.936.576 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

26.11.2007 02:03 24.576 VundoFixSVC.exe
26.11.2007 01:50 95.151 prtss.ini
25.11.2007 12:37 91.164 prtss.bak2
25.11.2007 12:33 1.158 wpa.dbl
22.11.2007 15:50 19 262904d1
21.11.2007 13:57 191.384 FNTCACHE.DAT
21.11.2007 13:57 708.122 foeyyfdx.ini
25.10.2007 15:29 66.257 prtss.bak1
14.10.2007 17:21 5.686 jupdate-1.6.0_03-b05.log
02.10.2007 20:02 317 onmoq.ini
02.10.2007 20:02 15.276 hilnn.ini
02.10.2007 19:08 693.412 krcctkcd.ini
02.10.2007 19:08 15.496 hilnn.bak2
01.10.2007 12:29 6.480 hilnn.bak1
30.09.2007 21:01 28.819 cefii.ini
30.09.2007 20:29 693.610 rnwmilmm.ini
30.09.2007 18:51 28.401 cefii.bak2
30.09.2007 18:50 414 pvptarju.ini
28.09.2007 20:08 693.481 jwnmcgnj.ini
28.09.2007 19:07 294 auycwecn.tmp
25.09.2007 20:22 6.440 cefii.bak1
25.09.2007 20:21 317 poppo.ini
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
18.09.2007 19:18 317 uxbeg.ini
17.09.2007 19:53 23.552 ddcbyvt.dll

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS

26.11.2007 10:34 4.236 ModemLog_Agere Systems AC'97 Modem.txt
26.11.2007 10:34 159 wiadebug.log
26.11.2007 10:34 0 0.log
26.11.2007 10:34 2.048 bootstat.dat
26.11.2007 03:04 50 wiaservc.log
26.11.2007 03:04 32.618 SchedLgU.Txt
26.11.2007 03:03 1.492.438 WindowsUpdate.log
25.11.2007 23:35 531.980 setupapi.log
30.09.2007 20:29 98 cookies.ini
16.08.2007 11:35 197 wmsetup.log

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

26.11.2007 11:39 16.384 ~DFD3F1.tmp
26.11.2007 10:41 865 jusched.log
26.11.2007 10:36 49.152 ~DF6014.tmp
26.11.2007 03:03 49.152 ~DFD048.tmp
26.11.2007 02:21 49.152 ~DFB68A.tmp
26.11.2007 01:52 49.152 ~DF7920.tmp
26.11.2007 01:52 32.768 ~DF6D50.tmp
26.11.2007 01:50 49.152 ~DF4B8C.tmp
25.11.2007 23:04 49.152 ~DFB2EC.tmp
25.11.2007 22:19 1.456 logfile.txt
25.11.2007 20:29 49.152 ~DF2C59.tmp
11 Datei(en) 395.537 Bytes
0 Verzeichnis(se), 17.062.936.576 Bytes frei

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\Temp

26.11.2007 10:34 256 ZLT032f9.TMP
26.11.2007 01:51 256 ZLT0229f.TMP
17.09.2007 18:07 256 ZLT00298.TMP
07.09.2007 13:47 0 Upd1C.tmp
05.09.2007 20:05 0 Upd28.tmp
05.09.2007 17:46 0 Upd1B.tmp
02.09.2007 17:53 0 Upd17.tmp
02.09.2007 17:53 0 Upd1A.tmp
28.08.2007 20:05 0 Upd16.tmp

Ich hoffe das wars. Kenn mich leider nicht so gut damit aus! Ich sehe in diesen Zeichen und Zahlen nichts. Das kommt davon wenn der Rechner sonst immer einwandfrei läuft und dann zum ersten mal ein Problem auftritt...Entschuldige bitte noch einmal meine Unwissenheit!

Was ich bis her gemacht habe:
Ich habe Vundo.exe laufen lassen. Nach Fund von Vundo.exe habe ich neu gestartet, neu gescannt und keinen weiteren Fund mehr gehabt. Heute starte ich den Rechner neu und mir wird das oben genannte Modul als nicht startbar gemeldet. Weiter recherchiert und leider nicht mehr weitergekommen.

Was soll ich tun?
Vielen Dank für deine Mühe!

Jean

Chris4You · 26.11.2007, 13:46

Hi,

online scannen lassen:
C:\WINDOWS\System32\__c00EB69E.dat
C:\WINDOWS\System32\ddcbyvt.dll
C:\WINDOWS\System32\odbcintd.dll
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Poste das Ergebnis mit Filenamen!

Dein IE ist veraltet!

Also:
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|2629165f

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifec

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\System32\__c00EB69E.dat
C:\WINDOWS\System32\ddcbyvt.dll
C:\WINDOWS\System32\xdfyyeof.dll
C:\WINDOWS\System32\lkgdfimy.dll
C:\WINDOWS\System32\sstrp.dll
C:\WINDOWS\System32\iifec.dll
C:\WINDOWS\System32\foeyyfdx.ini
C:\WINDOWS\System32\cefii.bak1
C:\WINDOWS\System32\auycwecn.tmp
C:\WINDOWS\System32\jwnmcgnj.ini
C:\WINDOWS\System32\pvptarju.ini
C:\WINDOWS\System32\cefii.bak2
C:\WINDOWS\System32\rnwmilmm.ini
C:\WINDOWS\System32\cefii.ini
C:\WINDOWS\System32\hilnn.bak1
C:\WINDOWS\System32\hilnn.bak2
C:\WINDOWS\System32\krcctkcd.ini
C:\WINDOWS\System32\hilnn.ini

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge (siehe unten) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O2 - BHO: {c9c239f0-3cda-0829-9ed4-14ad88dc1fc8} - {8cf1cd88-da41-4de9-9280-adc30f932c9c} - C:\WINDOWS\System32\lkgdfimy.dll (file missing)
O2 - BHO: (no name) - {787F5E00-BD7E-4968-B6B1-91A16EA74FDE} - C:\WINDOWS\System32\sstrp.dll (file missing)
O20 - Winlogon Notify: iifec - C:\WINDOWS\System32\iifec.dll (file missing)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - h**p://download.abetterinternet.com/download/cabs/FON14006/thin.cab

Bitte scanne noch mit Dr. Web und poste das Ergebnis!
Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt

Chris

Giesskanne · 26.11.2007, 20:40

Hallo mein Retter:

Habe den e-scan durchlaufen lassen. Zum ersten Mal mache ich sowas und versuche mein möglichstes um Deinen Anweisungen zu folgen. Benötíge aber Zeit um alles zu verstehen und umzusetzen. Bin alleine und Anfänger! Sorry!!!

1) Bei E-scan im abgesicherten Modus ging bis zur aktualisierung alles problemlos. Bei Aktualisieren sagt er mir, dass das Download nicht abgeschlossen werden konnte. Habe trotzdem weiter gemacht. Hier das Ergebnis:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.2.6
Sprache: German
Virus-Datenbank Datum: 5/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen.
System found infected with vx2 Spyware/Adware ({30000273-8230-4dd4-be4f-6889d1e74167})! Action taken: Keine Aktion vorgenommen.
System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\System32\odbcintd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\odbcintd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\ikchgtax.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\ejkffjxx.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\odbcintd.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ikchgtax.exe markiert als "not-a-virus:AdWare.Win32.HotBar.bw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ejkffjxx.exe//data0018//data0002 markiert als "not-a-virus:AdWare.Win32.180Solutions.ay". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Leder\Lokale Einstellungen\temp\uadcde_0001_d06m2509\installer.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Leder\Anwendungsdaten\hbtools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\hbtools !!!
Offending Key found: HKCU\Software\hotbar !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = C:\WINDOWS\System32\iifec.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iifec). Deleting Registry Key iifec...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\GALLERY2\PROGRAMS\cgafnt50.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 95840
Gefundene Viren: 14
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 72
Dauer des Scans bisher: 00:52:21
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:13:48,31
Batchende: 14:13:52,99

Ich besitze diesen Rechner seit 4 Jahren und hatte noch nie Probleme daher bin ich in dem Gebiet völliger Anfänger!

3) Nach dem normal Start wieder in Windows gingen sofort nach Start folgende Felder auf:

4) Microssoftfenster: Programm beenden
ADCcw hat Probleme beendet zu werden. Bericht an MS senden ? Ja / Nein. Hab nicht gesendet...(?)

5) nächstes Fenster: RUNDLL Fehler beim Laden des Moduls c:\windows\systems32\xdfyyeof.dll

6) Zone Alarm fragt nach Zugangsberechtigung von Igfx Tray Module und hkcmd Module. Ich glaube aber dass das mein DSL ZUgang über W-Lan bei Fritz Box ist. Bin mir aber nicht ganz sicher!

7) Ergebnis der Online Diagnose:
Virus Total für File: C:\WINDOWS\System32\__c00EB69E.dat

0 bytes size received / Se ha recibido un archivo vacio

Die Datei kann nicht gefunden werden. Weder Manuell noch per Einfügen / suchen.

Virus Total für Filename: C:\WINDOWS\System32\ddcbyvt.dll
File has already been analysed:
MD5: dfe8831780961bd1dc2508a4773144be
Date: 2007.11.24 13:58:11 (CET) [>2D]
Results: 24/32
Permalink: resultado.html?5d9b6426aecf1c282d809ba89ba0d9db

Virus Total für Filename: C:\WINDOWS\System32\odbcintd.dll
File has already been analysed:
MD5: 4a8053e2367e58bccacbd8307ef8b920
Date: 2007.11.26 15:18:24 (CET) [<1D]
Results: 24/32
Permalink: resultado.html?c1c376a460e9b8e6d4b9d47eabfa55da

Mit IE werde ich mich schlau machen und werde versuchen deine Hilfe umzusetzen.

Sobald ich weiter bin melde ich mich sofort.

Vielen Dank schon mal für Deine Mühe!!!!!

Gruß von der anderen Seite der Leitung

Giesskanne · 26.11.2007, 21:43

So, ich hoffe ich hab alles richtig gemacht:

Avenger: runtergeladen, entzipt, Antivir-Arlarm: Fund C:\Programme\Avenger\avenger.exe enthält als Erkennungsmuster SPR/Avenger- Programmes-- Ignorieren weil sonst nixhts weiter gegangen wäre..

Avenger nach deinen Angaben bearbeitet (Markiert + Kopiert + einfügen)

Nach Neustart AntivirAlarm: Fund C:\...\ADCFreeInstaller_de[1].exe hat das Erkennungsmuster SPR/Dldr.ADCInsta.A Programmes

Microssoftfenster: ADCcw hat Probleme muss beendet werden-- Nicht senden

Hijackthis nach angegeben Angaben bearbeitet...
Eine Datei war verändert:

O20-Winlogon Notify: igfxcu-C:\WINDOWS\SYSTEM32\igfxsrvc.dll

anstatt

020 - Winlogon Notify: ifec - C:\WINDOWS\Systems32\iifec.dll(file missing)

hab es mit angehakt aus Unwissenheit. Da kommt mir dann der Zweifel zu dem Gedanken an meinen DSL-Zugang, da dieses igfxsrvc... modul wurde von Zone Alarm abgefragt.....??

Nach Neustart kam folgende Angaben:

AntivirAlarm: Fund C:\...\ADCFreeInstaller_de[1].exe hat das Erkennungsmuster SPR/Dldr.ADCInsta.A Programmes

Microssoftfenster: ADCcw hat Probleme und wird beendet--nicht senden

Es sind immerhin schon nicht mehr alle 2 sekunden ein Antivir Alarm von Trojaner fund...

Ich wollte meinen Rechner danach mit dem Dr. Web scannen aber weder auf deinem angegeben Link noch über den anderen Link kann ich das Download durchführen. Ich lande auf diesem Link: f*p://f*p.drweb.com/pub/drweb/cureit/cureit.exe
Server kann nicht gefunden werden...

Also bin ich nach dem Avenger und HijackThis stehen geblieben von Deinen Aufgaben.
Was darf ich als nächstes tun??

Viele liebe Grüße

Ladefehler in Modul windows/system32/xdfyyeof.dll

Plagegeister aller Art und deren Bekämpfung: Ladefehler in Modul windows/system32/xdfyyeof.dll