Hallo,

gestern ist ein Problem beim booten aufgetaucht. Kurz nach dem 1. Windowsscreen erschien ein Bluescreen und der Rechner startete neu.
Das wiederholte sich dann immer wieder. Habe das System drüberinstalliert und konnte so wieder booten.
Ein Scan mit Antivir hat mir folgendes Ergebnis geliefert: TR/Agent.FMC in der Datei C:\WINDOWS\system32\xxywwwx.dll

Leider kann ich in Google weder zur Datei, noch zu dem Trojaner etwas finden.
Mit HijackThis oder Antivir lässt sich die Datei auch nicht entfernen.

Ich hoffe, es weiß jemand Rat.

Danke im Voraus

Logfile of HijackThis v1.99.1
Scan saved at 20:15:37, on 27.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\jLn.JULIAN\Desktop\hijackthis_199\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe

O2 - BHO: (no name) - {17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67} - C:\WINDOWS\system32\xxywwwx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0E4F158-415D-4513-A64E-0E781D0F81B3}: NameServer = 217.237.150.51 217.237.148.22
O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo

Zitat:

Habe das System drüberinstalliert und konnte so wieder booten.

Du meinst eine Reparaturinstallation (drüber gebügelt)?

Zitat:

Leider kann ich in Google weder zur Datei, noch zu dem Trojaner etwas finden.

xxywwwx.dll - Google-Suche

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Mit diesem Patchstand wirst nicht glücklich werden, es können sich Schädlinge, in diesem Zustand deines System, ohne dein Zutun einnisten.
Das Servicepack 2 ist pflicht, warum ist es nicht auf deinem Rechner zu finden?
Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler

Mein Rat ist, da du ja eh schon neuinstallieren wolltest, besorge dir das Servicepack 2 und folge anschließend dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!

MFG

Vielen Dank für deine Nachricht!

Zitat:

Zitat von nochdigger

Du meinst eine Reparaturinstallation (drüber gebügelt)?

ährm, jein ... die Reparatur der System-Disk konnte ich nicht ausführen, da ich Probleme mit dem Administratorkennwort hatte. Also habe ich Windows nochmals über die aktuell installierte Version installiert.

Zitat:

Zitat von nochdigger

xxywwwx.dll - Google-Suche

soweit bin ich auch gekommen, allerdings bin ich der spanischen, französischen oder italienischen Sprache nicht so mächtig, dass mir diese Seiten weiter helfen würden. (die paar englischen Resultate waren auch nicht sehr ergiebig)

Zitat:

Zitat von nochdigger

Mit diesem Patchstand wirst nicht glücklich werden ... Das Servicepack 2 ist pflicht, warum ist es nicht auf deinem Rechner zu finden?

wie gesagt habe ich gestern Abend erst neu installiert (wenn man das so nennen mag) scheinbar wurde das sp2 nicht erkannt. Als ich den Fund von dem Trojaner bemerkte war mir das Problem erst einmal wichtiger.

Zitat:

Zitat von nochdigger

Neuaufsetzen des Systems und anschliessende Absicherung![/url]

meinst du ich komme nicht drum herum?
Das Dingen muss man doch irgendwie entfernen können ...?

Thanks a lot!

Hallo

Zitat:

meinst du ich komme nicht drum herum?

Das ist und bleibt deine Entscheidung ich hab nur meine Meinung gesagt.

Zitat:

Das Dingen muss man doch irgendwie entfernen können ...?

Sollte zu schaffen sein.
Ich habe auch nur gemeint, die Gelegenheit ist günstig, da evtl. noch nicht viel Software installiert sei und das Formatieren nicht soooo wehtut


Versuch es mal mit Vundofix

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Erstelle ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. This.exe und berichte bitte was sich getan hat.

MFG

hmmmpf, nee der vundo findet nichts.
werde mich wohl am we hin setzen und die mühle wieder platt machen. ärgz, wie ich das hassen.

danke für deine hilfe. falls jemand doch noch eine lösung für das problem findet, bitte hier posten ...

Moin

dann machen wir so weiter

Lade dir Combofix sowie Filelist und führe es aus

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

tachchen, hier bin ich wieder ...
hier also der combofix report:

ComboFix 07-11-19.4C - jLn 2007-11-28 18:50:34.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.619 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\jLn.JULIAN\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-28 bis 2007-11-28 ))))))))))))))))))))))))))))))
.

2007-11-28 18:43 <DIR> d-------- C:\Programme\MM-Exporter
2007-11-28 18:43 608,448 --a------ C:\WINDOWS\system32\ComCtl32.ocx
2007-11-28 18:43 209,608 --a------ C:\WINDOWS\system32\Tabctl32.ocx
2007-11-28 18:43 203,976 --a------ C:\WINDOWS\system32\RICHTX32.OCX
2007-11-28 18:43 140,488 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2007-11-28 18:39 <DIR> d-------- C:\WINDOWS\LastGood
2007-11-28 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü
2007-11-28 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü
2007-11-28 18:39 154,112 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe
2007-11-28 18:39 27,136 --a--c--- C:\WINDOWS\system32\dllcache\irmon.dll
2007-11-28 18:39 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll
2007-11-27 23:26 <DIR> d-------- C:\VundoFix Backups
2007-11-27 22:40 2,981,888 --------- C:\WINDOWS\system32\xpsp2res.dll
2007-11-27 22:40 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2007-11-27 22:40 1,689,088 --------- C:\WINDOWS\system32\d3d9.dll
2007-11-27 22:40 848,384 --------- C:\WINDOWS\system32\ir41_32.ax
2007-11-27 22:40 526,848 --------- C:\WINDOWS\system32\p2psvc.dll
2007-11-27 22:40 438,784 --------- C:\WINDOWS\system32\xpob2res.dll
2007-11-27 22:40 425,472 --------- C:\WINDOWS\system32\html.iec
2007-11-27 22:40 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll
2007-11-27 22:40 338,432 --------- C:\WINDOWS\system32\ir41_qcx.dll
2007-11-27 22:40 312,320 --------- C:\WINDOWS\system32\p2pgraph.dll
2007-11-27 22:40 310,272 --------- C:\WINDOWS\system32\mp43dmod.dll
2007-11-27 22:40 286,792 --------- C:\WINDOWS\system32\slextspk.dll
2007-11-27 22:40 275,200 --------- C:\WINDOWS\system32\drivers\bthport.sys
2007-11-27 22:40 199,680 --------- C:\WINDOWS\system32\iac25_32.ax
2007-11-27 22:40 188,508 --------- C:\WINDOWS\system32\slgen.dll
2007-11-27 22:40 183,808 --------- C:\WINDOWS\system32\wuaueng1.dll
2007-11-27 22:40 129,536 --------- C:\WINDOWS\system32\xmlprov.dll
2007-11-27 22:40 120,320 --------- C:\WINDOWS\system32\wuweb.dll
2007-11-27 22:40 120,320 --------- C:\WINDOWS\system32\ir41_qc.dll
2007-11-27 22:40 118,272 --------- C:\WINDOWS\system32\mpeg2data.ax
2007-11-27 22:40 116,224 --------- C:\WINDOWS\system32\p2p.dll
2007-11-27 22:40 113,664 --------- C:\WINDOWS\system32\wucltui.dll
2007-11-27 22:40 110,592 --------- C:\WINDOWS\system32\bthprops.cpl
2007-11-27 22:40 100,992 --------- C:\WINDOWS\system32\drivers\bthpan.sys
2007-11-27 22:40 88,064 --------- C:\WINDOWS\system32\p2pnetsh.dll
2007-11-27 22:40 86,016 --------- C:\WINDOWS\system32\p2pgasvc.dll
2007-11-27 22:40 75,776 --------- C:\WINDOWS\system32\strmfilt.dll
2007-11-27 22:40 73,832 --------- C:\WINDOWS\system32\slcoinst.dll
2007-11-27 22:40 73,796 --------- C:\WINDOWS\system32\slserv.exe
2007-11-27 22:40 71,680 --------- C:\WINDOWS\system32\blastcln.exe
2007-11-27 22:40 53,248 --------- C:\WINDOWS\system32\vbicodec.ax
2007-11-27 22:40 50,688 --------- C:\WINDOWS\system32\btpanui.dll
2007-11-27 22:40 50,176 --------- C:\WINDOWS\system32\xmlprovi.dll
2007-11-27 22:40 49,152 --------- C:\WINDOWS\system32\powercfg.exe
2007-11-27 22:40 48,640 --------- C:\WINDOWS\system32\pnrpnsp.dll
2007-11-27 22:40 38,016 --------- C:\WINDOWS\system32\drivers\bthmodem.sys
2007-11-27 22:40 36,864 --------- C:\WINDOWS\system32\wups.dll
2007-11-27 22:40 35,456 --------- C:\WINDOWS\system32\drivers\bthprint.sys
2007-11-27 22:40 32,866 --------- C:\WINDOWS\system32\slrundll.exe
2007-11-27 22:40 32,866 --------- C:\WINDOWS\slrundll.exe
2007-11-27 22:40 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2007-11-27 22:40 30,208 --------- C:\WINDOWS\system32\bthserv.dll
2007-11-27 22:40 28,672 --------- C:\WINDOWS\system32\vidcap.ax
2007-11-27 22:40 24,576 --------- C:\WINDOWS\system32\httpapi.dll
2007-11-27 22:40 20,992 --------- C:\WINDOWS\system32\bthci.dll
2007-11-27 22:40 17,024 --------- C:\WINDOWS\system32\drivers\bthenum.sys
2007-11-27 22:40 15,872 --------- C:\WINDOWS\system32\w3ssl.dll
2007-11-27 22:40 13,824 --------- C:\WINDOWS\system32\cmsetacl.dll
2007-11-27 22:40 9,728 --------- C:\WINDOWS\system32\comsdupd.exe
2007-11-27 22:40 8,192 --------- C:\WINDOWS\system32\smbinst.exe
2007-11-27 22:40 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-11-27 22:40 7,168 --------- C:\WINDOWS\system32\kbdukx.dll
2007-11-27 22:40 7,168 --------- C:\WINDOWS\system32\kbdno1.dll
2007-11-27 22:40 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-11-27 22:40 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll
2007-11-27 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\Talkback
2007-11-26 23:56 1,140 --a------ C:\WINDOWS\mozver.dat
2007-11-26 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\MailFrontier
2007-11-26 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MailFrontier
2007-11-26 22:48 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-11-26 22:48 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-11-26 22:48 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-11-26 22:48 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-11-26 22:48 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-11-26 22:48 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-11-26 22:47 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-11-26 22:47 38,400 --------- C:\WINDOWS\system32\xxywwwx.dll
2007-11-26 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2007-11-26 22:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2007-11-26 22:28 261 --a------ C:\WINDOWS\system32\$winnt$.inf
2007-11-26 22:24 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2007-11-26 22:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\GTK
2007-11-26 22:14 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\Thunderbird
2007-11-26 22:14 <DIR> d-------- C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\.purple
2007-11-26 22:13 <DIR> d-------- C:\WUTemp
2007-11-26 22:13 720,896 -ra------ C:\WINDOWS\system32\a3d.dll
2007-11-26 22:13 578,304 -ra------ C:\WINDOWS\system32\drivers\smwdm.sys
2007-11-26 22:13 171,776 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2007-11-26 22:13 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-11-26 22:13 140,928 --a------ C:\WINDOWS\system32\drivers\ks.sys
2007-11-26 22:13 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-11-26 22:13 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2007-11-26 22:13 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-11-26 22:13 48,640 --a------ C:\WINDOWS\system32\drivers\stream.sys
2007-11-26 22:13 23,552 --a------ C:\WINDOWS\system32\wdmaud.drv
2007-11-26 22:13 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-11-26 22:13 3,744 -ra------ C:\WINDOWS\system32\drivers\smsens.sys
2007-11-26 22:11 189,568 -ra------ C:\WINDOWS\system32\drivers\yk51x86.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-28 17:46 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-11-27 22:31 --------- d-----w C:\Dokumente und Einstellungen\jLn.JULIAN\Anwendungsdaten\.purple
2007-11-26 21:48 34,848 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-26 21:48 1,568 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-26 21:48 1,484 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-26 21:48 1,220 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-26 21:32 --------- d-----w C:\Programme\Pidgin
2007-11-26 21:32 --------- d-----w C:\Programme\Aspell
2007-11-23 22:25 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\.purple
2007-11-23 21:31 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\dvdcss
2007-11-23 18:27 --------- d-----w C:\Programme\Soulseek-Test
2007-11-23 17:51 --------- d-----w C:\Programme\CDex_150
2007-11-13 20:50 --------- d-----w C:\Programme\DivX
2007-11-08 00:34 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\gtk-2.0
2007-11-03 00:21 --------- d-----w C:\Programme\Winamp
2007-11-01 14:36 --------- d-----w C:\Programme\SFT Loader
2007-10-30 18:24 --------- d-----w C:\Programme\Real Alternative
2007-10-27 23:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-27 23:49 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Extensis
2007-10-26 21:12 --------- d-----w C:\Programme\Anti-Leech
2007-10-25 21:28 --------- d-----w C:\Programme\SEC
2007-10-25 21:27 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-25 21:06 --------- d-----w C:\Programme\MonitorTest
2007-10-25 19:04 --------- d-----w C:\Programme\Microsoft.NET
2007-10-22 19:10 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\CD-LabelPrint
2007-10-22 18:10 --------- d-----w C:\Programme\DVD Shrink DE
2007-10-20 14:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-19 15:53 --------- d-----w C:\Programme\VirtualDJ
2007-10-18 00:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels
2007-10-17 23:27 --------- d-----w C:\Programme\DAEMON Tools
2007-10-17 22:37 --------- d-----w C:\Programme\Bonjour
2007-10-17 22:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-10-15 17:27 --------- d-----w C:\Programme\Gemeinsame Dateien\CANON
2007-10-15 17:27 --------- d-----w C:\Programme\Canon
2007-10-15 17:25 --------- d--h--w C:\Programme\CanonBJ
2007-10-15 17:16 --------- d-----w C:\Programme\Last.fm
2007-10-13 14:54 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Cherry
2007-10-13 12:33 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Ahead
2007-10-13 12:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-10-13 12:22 --------- d-----w C:\Programme\Nero
2007-10-13 11:43 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\vlc
2007-10-13 10:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Cherry
2007-10-13 10:56 --------- d-----w C:\Programme\Cherry
2007-10-12 21:17 --------- d-----w C:\Programme\VideoLAN
2007-10-12 18:42 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Media Player Classic
2007-10-12 18:39 --------- d-----w C:\Programme\Avira
2007-10-12 18:33 --------- d-----w C:\Programme\XviD
2007-10-12 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Agfa
2007-10-12 18:14 --------- d-----w C:\Programme\Agfa
2007-10-11 22:17 --------- d-----w C:\Programme\MSXML 6.0
2007-10-11 22:17 --------- d-----w C:\Programme\MSXML 4.0
2007-10-11 22:09 --------- d-----w C:\Programme\Windows Media Connect 2
2007-10-11 17:07 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\HEXelon
2007-10-11 16:53 --------- d-----w C:\Programme\MozBackup
2007-10-11 12:25 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Talkback
2007-10-11 12:23 --------- d-----w C:\Dokumente und Einstellungen\jLn\Anwendungsdaten\Thunderbird
2007-10-10 17:46 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-10 17:46 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-10 17:08 --------- d-----w C:\Programme\NVIDIA
2007-10-10 16:54 --------- d-----w C:\Programme\microsoft frontpage
2007-10-10 16:53 --------- d-----w C:\Programme\Online-Dienste
2007-10-10 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-10-10 16:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-09-21 17:41 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-09-21 16:38 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-09-21 16:38 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-09-21 16:38 8,466,432 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-09-21 16:38 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-09-21 16:38 6,742,016 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-09-21 16:38 6,238,208 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-09-21 16:38 5,700,864 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-09-21 16:38 5,455,872 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-09-21 16:38 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-09-21 16:38 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-09-21 16:38 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-09-21 16:38 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-09-21 16:38 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-09-21 16:38 37,376 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-09-21 16:38 37,376 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-09-21 16:38 360,448 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-09-21 16:38 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-09-21 16:38 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-09-21 16:38 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-09-21 16:38 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-09-21 16:38 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-09-21 16:38 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-09-21 16:38 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-09-21 16:38 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-09-21 16:38 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-09-21 16:38 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-09-21 16:38 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-09-21 16:38 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-09-21 16:38 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-09-21 16:38 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-09-21 16:38 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-09-21 16:38 3,600,384 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-09-21 16:38 3,522,560 ----a-w C:\WINDOWS\system32\nvvitvs.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67}]
2007-11-26 22:47 38400 --------- C:\WINDOWS\system32\xxywwwx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2007-09-21 17:38 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 20:40]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57]

C:\Dokumente und Einstellungen\jLn\Startmen�\Programme\Autostart\
NaturalColorLoad.lnk - C:\Programme\SEC\Natural Color\NaturalColorLoad.exe [2007-10-25 22:28:05]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67}"= C:\WINDOWS\system32\xxywwwx.dll [2007-11-26 22:47 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwwx]
xxywwwx.dll 2007-11-26 22:47 38400 C:\WINDOWS\system32\xxywwwx.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys

*Newly Created Service* - ALG
*Newly Created Service* - CATCHME
*Newly Created Service* - DCOMLAUNCH
*Newly Created Service* - FLTMGR
*Newly Created Service* - HTTP
*Newly Created Service* - IPNAT
*Newly Created Service* - SHAREDACCESS
*Newly Created Service* - WSCSVC
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-28 18:54:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-28 18:55:20
.
--- E O F ---

... und hier der von filelist:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\

28.11.2007 18:55 17.176 ComboFix.txt
28.11.2007 18:37 1.610.612.736 pagefile.sys
27.11.2007 23:40 396 VundoFix.txt
27.11.2007 22:47 211 boot.ini
27.11.2007 22:34 47.564 NTDETECT.COM
27.11.2007 22:34 251.184 ntldr
13.10.2007 13:23 80 FilterLog.log
10.10.2007 17:53 0 CONFIG.SYS
10.10.2007 17:53 0 MSDOS.SYS
10.10.2007 17:53 0 IO.SYS
10.10.2007 17:53 0 AUTOEXEC.BAT

12 Datei(en) 1.610.934.299 Bytes
0 Verzeichnis(se), 7.021.658.112 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\WINDOWS\system32

28.11.2007 18:40 316.594 perfh007.dat
28.11.2007 18:40 48.156 perfc007.dat
28.11.2007 18:40 39.992 perfc009.dat
28.11.2007 18:40 311.604 perfh009.dat
28.11.2007 18:40 723.744 PerfStringBackup.INI
28.11.2007 18:39 58.726 vsconfig.xml
28.11.2007 18:38 13.646 wpa.dbl
28.11.2007 18:38 251 spupdwxp.log
28.11.2007 18:37 91.888 FNTCACHE.DAT
26.11.2007 22:50 4.212 zllictbl.dat
26.11.2007 22:47 38.400 xxywwwx.dll
26.11.2007 22:24 13.646 wpa.bak
26.11.2007 21:51 8 nvModes.dat
26.11.2007 21:50 128.151 nvapps.xml
26.11.2007 21:44 25.065 wmpscheme.xml
26.11.2007 21:41 261 $winnt$.inf
26.11.2007 21:39 2.951 CONFIG.NT
26.11.2007 21:39 16.832 amcompat.tlb
26.11.2007 21:39 23.392 nscompat.tlb
26.11.2007 21:38 488 WindowsLogon.manifest
26.11.2007 21:38 488 logonui.exe.manifest
26.11.2007 21:38 749 ncpa.cpl.manifest
26.11.2007 21:38 749 sapi.cpl.manifest
26.11.2007 21:38 749 wuaucpl.cpl.manifest
26.11.2007 21:38 749 cdplayer.exe.manifest
26.11.2007 21:38 749 nwc.cpl.manifest
26.11.2007 21:37 21.740 emptyregdb.dat
26.11.2007 21:36 0 h323log.txt
21.09.2007 18:41 356.352 NVUNINST.EXE
21.09.2007 17:38 303.104 nvwrstr.dll
21.09.2007 17:38 299.008 nvwrssk.dll
21.09.2007 17:38 315.392 nvwrsru.dll
21.09.2007 17:38 319.488 nvwrsptb.dll
21.09.2007 17:38 323.584 nvwrspt.dll
21.09.2007 17:38 294.912 nvwrspl.dll
21.09.2007 17:38 299.008 nvwrsno.dll
21.09.2007 17:38 319.488 nvwrsnl.dll
21.09.2007 17:38 196.608 nvwrsko.dll
21.09.2007 17:38 212.992 nvwrsja.dll
21.09.2007 17:38 323.584 nvwrsit.dll
21.09.2007 17:38 315.392 nvwrshu.dll
21.09.2007 17:38 278.528 nvwrshe.dll
21.09.2007 17:38 327.680 nvwrsfr.dll
21.09.2007 17:38 303.104 nvwrsfi.dll
21.09.2007 17:38 327.680 nvwrsesm.dll
21.09.2007 17:38 335.872 nvwrses.dll
21.09.2007 17:38 286.720 nvwrseng.dll
21.09.2007 17:38 335.872 nvwrsel.dll
21.09.2007 17:38 311.296 nvwrsde.dll
21.09.2007 17:38 294.912 nvwrsda.dll
21.09.2007 17:38 286.720 nvwrscs.dll
21.09.2007 17:38 282.624 nvwrsar.dll
21.09.2007 17:38 1.019.904 nvwimg.dll
21.09.2007 17:38 1.703.936 nvwdmcpl.dll
21.09.2007 17:38 81.920 nvwddi.dll
21.09.2007 17:38 3.600.384 nvvitvsr.dll
21.09.2007 17:38 3.522.560 nvvitvs.dll
21.09.2007 17:38 303.104 nvwrssl.dll
21.09.2007 17:38 356.352 nvudisp.exe
21.09.2007 17:38 1.018.772 nvucode.bin
21.09.2007 17:38 294.912 nvwrssv.dll
21.09.2007 17:38 155.716 nvsvc32.exe
21.09.2007 17:38 466.944 nvshell.dll
21.09.2007 17:38 126.976 nvrszht.dll
21.09.2007 17:38 225.280 nvrszhc.dll
21.09.2007 17:38 258.048 nvrstr.dll
21.09.2007 17:38 163.840 nvwrszhc.dll
21.09.2007 17:38 253.952 nvrssv.dll
21.09.2007 17:38 258.048 nvrssl.dll
21.09.2007 17:38 258.048 nvrssk.dll
21.09.2007 17:38 270.336 nvrsru.dll
21.09.2007 17:38 167.936 nvwrszht.dll
21.09.2007 17:38 274.432 nvrspt.dll
21.09.2007 17:38 253.952 nvrspl.dll
21.09.2007 17:38 253.952 nvrsno.dll
21.09.2007 17:38 274.432 nvrsnl.dll
21.09.2007 17:38 262.144 nvrsko.dll
21.09.2007 17:38 266.240 nvrsja.dll
21.09.2007 17:38 278.528 nvrsit.dll
21.09.2007 17:38 258.048 nvrshu.dll
21.09.2007 17:38 327.680 nvrshe.dll
21.09.2007 17:38 282.624 nvrsfr.dll
21.09.2007 17:38 249.856 nvrsfi.dll
21.09.2007 17:38 274.432 nvrsesm.dll
21.09.2007 17:38 282.624 nvrses.dll
21.09.2007 17:38 245.760 nvrseng.dll
21.09.2007 17:38 282.624 nvrsel.dll
21.09.2007 17:38 278.528 nvrsde.dll
21.09.2007 17:38 253.952 nvrsda.dll
21.09.2007 17:38 249.856 nvrscs.dll
21.09.2007 17:38 327.680 nvrsar.dll
21.09.2007 17:38 6.742.016 nvoglnt.dll
21.09.2007 17:38 286.720 nvnt4cpl.dll
21.09.2007 17:38 73.728 nvtuicpl.cpl
21.09.2007 17:38 2.854.912 nvmoblsr.dll
21.09.2007 17:38 1.146.880 nvmobls.dll
21.09.2007 17:38 81.920 nvmctray.dll
21.09.2007 17:38 458.752 nvmccssr.dll
21.09.2007 17:38 188.416 nvmccss.dll
21.09.2007 17:38 45.056 nvmccsrs.dll
21.09.2007 17:38 229.376 nvmccs.dll
21.09.2007 17:38 1.478.656 nview.dll
21.09.2007 17:38 3.166.208 nvgamesr.dll
21.09.2007 17:38 3.330.048 nvgames.dll
21.09.2007 17:38 307.200 nvexpbar.dll
21.09.2007 17:38 1.339.392 nvdspsch.exe
21.09.2007 17:38 5.455.872 nvdispsr.dll
21.09.2007 17:38 6.238.208 nvdisps.dll
21.09.2007 17:38 17.527 nvdisp.nvu
21.09.2007 17:38 1.073.152 nvcpluir.dll
21.09.2007 17:38 753.664 nvcplui.exe
21.09.2007 17:38 8.466.432 nvcpl.dll
21.09.2007 17:38 413.696 nvcpl.cpl
21.09.2007 17:38 147.456 nvcolor.exe
21.09.2007 17:38 37.376 nvcodins.dll
21.09.2007 17:38 37.376 nvcod.dll
21.09.2007 17:38 2.334.720 nvwss.dll
21.09.2007 17:38 2.416.640 nvwssr.dll
21.09.2007 17:38 442.368 nvappbar.exe
21.09.2007 17:38 360.448 nvapi.dll
21.09.2007 17:38 5.700.864 nv4_disp.dll
21.09.2007 17:38 1.626.112 nwiz.exe
21.09.2007 17:38 290.816 nvwrsth.dll
21.09.2007 17:38 425.984 keystone.exe
21.09.2007 17:38 266.240 nvrsptb.dll
21.09.2007 17:38 253.952 nvrsth.dll
1977 Datei(en) 402.879.082 Bytes
0 Verzeichnis(se), 7.021.531.136 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\WINDOWS\Prefetch

28.11.2007 18:56 10.178 FIND.EXE-0EC32F1E.pf
28.11.2007 18:56 14.546 GUARDGUI.EXE-3AFB6D88.pf
28.11.2007 18:55 13.512 NOTEPAD.EXE-336351A9.pf
28.11.2007 18:55 8.694 NIRCMD.EXE-2C39EF53.pf
28.11.2007 18:55 13.892 REGEDIT.EXE-1B606482.pf
28.11.2007 18:55 53.820 CATCHME.CFEXE-0F2A0789.pf
28.11.2007 18:55 8.132 NIRCMD.CFEXE-19FF4781.pf
28.11.2007 18:55 18.578 DUMPHIVE.CFEXE-2ED3B134.pf
28.11.2007 18:55 3.926 GREP.CFEXE-20443039.pf
28.11.2007 18:54 12.164 CMD.EXE-087B4001.pf
28.11.2007 18:54 26.030 CSCRIPT.EXE-1C26180C.pf
28.11.2007 18:54 25.748 WMIPRVSE.EXE-28F301A9.pf
28.11.2007 18:54 16.026 IMAPI.EXE-0BF740A4.pf
28.11.2007 18:54 6.912 SWREG.CFEXE-2BF4FFCD.pf
28.11.2007 18:54 68.428 EXPLORER.EXE-082F38A9.pf
28.11.2007 18:54 3.838 MTEE.CFEXE-1E067BC7.pf
28.11.2007 18:54 12.580 FINDSTR.EXE-0CA6274B.pf
28.11.2007 18:54 61.212 CATCHME.EXE-334C4B6E.pf
28.11.2007 18:54 16.760 REGT.CFEXE-15DB5DAE.pf
28.11.2007 18:54 13.182 REG.EXE-0D2A95F7.pf
28.11.2007 18:54 7.384 SWXCACLS.CFEXE-365F7973.pf
28.11.2007 18:53 6.366 SWSC.CFEXE-3B4FE4FE.pf
28.11.2007 18:53 4.436 HANDLE.CFEXE-13427ED2.pf
28.11.2007 18:53 3.706 SED.CFEXE-268D7E58.pf
28.11.2007 18:53 9.932 SORT.EXE-194AE83C.pf
28.11.2007 18:53 2.862 VFIND.EXE-0CB9A64E.pf
28.11.2007 18:52 9.992 VFIND.CFEXE-2033727F.pf
28.11.2007 18:50 10.670 ATTRIB.EXE-39EAFB02.pf
28.11.2007 18:50 3.802 SF.CFEXE-164B3B2D.pf
28.11.2007 18:49 18.446 SETPATH.CFEXE-034E3D26.pf
28.11.2007 18:49 53.188 ERUNT.CFEXE-039977DB.pf
28.11.2007 18:49 6.896 SWREG.EXE-3688D00C.pf
28.11.2007 18:48 4.962 CHCP.COM-18156052.pf
28.11.2007 18:48 8.252 NIRCMD.EXE-1F7FED22.pf
28.11.2007 18:48 14.762 COMBOFIX.EXE-27214C61.pf
28.11.2007 18:48 18.454 RUNDLL32.EXE-2A94BB85.pf
28.11.2007 18:48 33.226 RUNDLL32.EXE-2576181F.pf
28.11.2007 18:46 68.126 THUNDERBIRD.EXE-031A6371.pf
28.11.2007 18:45 27.096 UPDCLIENT.EXE-215FC96B.pf
28.11.2007 18:44 86.584 FIREFOX.EXE-1D57670A.pf
28.11.2007 18:44 24.282 TOTALCMD.EXE-2CEAD4AB.pf
28.11.2007 18:44 25.136 MM-EXPORTER.EXE-291845DA.pf
28.11.2007 18:44 6.024 TC UP.EXE-159329D7.pf
28.11.2007 18:43 14.286 _REGDLL.TMP-1817F72A.pf
28.11.2007 18:43 11.578 IS-L8PUH.TMP-0490D137.pf
28.11.2007 18:43 22.314 MM-EXPORTER_233_SETUP.EXE-1C4C80A7.pf
28.11.2007 18:42 28.056 WMIADAP.EXE-2DF425B2.pf
28.11.2007 18:40 16.770 RUNDLL32.EXE-1218E1AC.pf
28.11.2007 18:40 22.576 FSQUIRT.EXE-3954ECEA.pf
28.11.2007 18:40 35.726 ZLCLIENT.EXE-0120F620.pf
28.11.2007 18:40 25.578 RUNDLL32.EXE-31247066.pf
28.11.2007 18:40 10.560 NWIZ.EXE-2D0F9FBC.pf
28.11.2007 18:40 53.750 AVGNT.EXE-18356F59.pf
28.11.2007 18:40 21.074 RUNDLL32.EXE-247FE6B9.pf
28.11.2007 18:40 23.606 MSIEXEC.EXE-2F8A8CAE.pf
28.11.2007 18:40 16.406 RUNDLL32.EXE-409BCEB3.pf
28.11.2007 18:40 18.616 MOFCOMP.EXE-01718E95.pf
28.11.2007 18:40 9.208 BLASTCLN.EXE-2C69E3EA.pf
28.11.2007 18:40 22.456 SHMGRATE.EXE-1BA69E68.pf
28.11.2007 18:40 24.308 SETUP50.EXE-0CDEF78F.pf
28.11.2007 18:40 15.418 MSDTC.EXE-0E6E4AF7.pf
28.11.2007 18:40 21.394 UNREGMP2.EXE-07CACB61.pf
28.11.2007 18:39 14.292 RUNDLL32.EXE-4499C56E.pf
28.11.2007 18:39 8.522 LOGAGENT.EXE-027AF92B.pf
28.11.2007 18:39 13.900 REGSVR32.EXE-25EEFE2F.pf
28.11.2007 18:39 4.878 SPUPDSVC.EXE-21B36524.pf
28.11.2007 18:39 13.858 RUNDLL32.EXE-169CA248.pf
28.11.2007 18:39 61.448 IE4UINIT.EXE-169A5A39.pf
28.11.2007 18:39 20.688 WUAUCLT.EXE-399A8E72.pf
28.11.2007 18:39 10.198 ZCLIENTM.EXE-360CFDB5.pf
28.11.2007 18:39 14.626 ALG.EXE-0F138680.pf
28.11.2007 18:39 8.672 WSCNTFY.EXE-1B24F5EB.pf
28.11.2007 18:39 630.294 NTOSBOOT-B00DFAAD.pf
73 Datei(en) 2.077.798 Bytes
0 Verzeichnis(se), 7.021.559.808 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\WINDOWS

28.11.2007 18:44 1.993 WindowsUpdate.log
28.11.2007 18:40 28.964 spupdsvc.log
28.11.2007 18:40 1.174 OEWABLog.txt
28.11.2007 18:40 360 DtcInstall.log
28.11.2007 18:40 630 wmsetup.log
28.11.2007 18:39 316.640 WMSysPr9.prx
28.11.2007 18:39 1.019.506 setupapi.log
28.11.2007 18:39 96.959 iis6.log
28.11.2007 18:39 25.489 comsetup.log
28.11.2007 18:39 16.271 ntdtcsetup.log
28.11.2007 18:39 2.446 tabletoc.log
28.11.2007 18:39 4.757 imsins.log
28.11.2007 18:39 2.292 ocmsn.log
28.11.2007 18:39 21.201 tsoc.log
28.11.2007 18:39 2.112 msgsocm.log
28.11.2007 18:39 3.751 medctroc.Log
28.11.2007 18:39 32.759 ocgen.log
28.11.2007 18:39 28.753 FaxSetup.log
28.11.2007 18:39 6.034 netfxocm.log
28.11.2007 18:39 21.720 msmqinst.log
28.11.2007 18:39 0 0.log
28.11.2007 18:38 806.698 setuplog.txt
28.11.2007 18:38 2.048 bootstat.dat
27.11.2007 23:47 1.210 SchedLgU.Txt
27.11.2007 23:27 1.393 imsins.BAK
27.11.2007 23:27 455.828 svcpack.log
27.11.2007 22:50 175.372 setupact.log
27.11.2007 22:47 200 cmsetacl.log
27.11.2007 22:47 508 win.ini
27.11.2007 22:41 1.330 sessmgr.setup.log
26.11.2007 23:56 1.140 mozver.dat
26.11.2007 23:27 91 wininit.ini
26.11.2007 22:13 7.194 Windows Update.log
26.11.2007 22:01 3.078 Ascd_tmp.ini
26.11.2007 21:59 0 nsreg.dat
26.11.2007 21:43 8.192 REGLOCS.OLD
26.11.2007 21:39 0 control.ini
26.11.2007 21:39 299.552 WMSysPrx.prx
26.11.2007 21:39 4.161 ODBCINST.INI
26.11.2007 21:38 749 WindowsShell.Manifest
26.11.2007 21:37 36 vb.ini
26.11.2007 21:37 37 vbaddin.ini
26.11.2007 21:34 50 wiaservc.log
26.11.2007 21:34 409 wiadebug.log
26.11.2007 21:34 0 Sti_Trace.log
26.11.2007 21:30 1.348 regopt.log
26.11.2007 21:30 231 system.ini
26.11.2007 21:29 0 setuperr.log
08.11.2007 16:59 136.704 catchme.exe
21.06.2007 21:55 42.384 zllsputility_loc0407.dll
21.06.2007 21:54 75.248 zllsputility.exe
17.06.2007 00:11 51.200 NirCmd.exe
87 Datei(en) 7.481.982 Bytes
0 Verzeichnis(se), 7.021.547.520 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\WINDOWS\tasks

28.11.2007 18:38 6 SA.DAT
02.04.2003 13:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 7.021.551.616 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\WINDOWS\temp

28.11.2007 18:38 256 ZLT04152.TMP
28.11.2007 18:38 256 ZLT0414b.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 7.021.551.616 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C33-2A77

Verzeichnis von C:\DOKUME~1\JLN~1.JUL\LOKALE~1\Temp

28.11.2007 18:56 107.483 filelist.txt
1 Datei(en) 107.483 Bytes
0 Verzeichnis(se), 7.021.551.616 Bytes frei

Hallo

starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

Zitat:

O2 - BHO: (no name) - {17B88DF7-95AB-44DA-8ECD-5FF0B6CAEC67} - C:\WINDOWS\system32\xxywwwx.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll

klicke nun auf - fix checked - und beende Hijackthis.

Lade dir Avenger

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\xxywwwx.dll
C:\WINDOWS\web\related.htm
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Logfile mit Hijackthis.

Poste ausserdem den Inhalt der C:\avenger.txt Datei.

MFG

hallo,
danke für deine hilfe, habe aber jetzt einfach die zeit dafür installiert das system neu aufzusetzen ... habe die installationsanweisung des boards genutzt und bin jetzt mit einem frischen, aktuellen system am start. denke deine mühe wird auch anderen geplagten noch von nutzen sein.

also nochmal vielen dank!
gruß

Hallo

Zitat:

habe aber jetzt einfach die zeit dafür installiert das system neu aufzusetzen ...

OK, so sollten mehr Leute denken.

MFG

HI ihr alle zusammen,

ich hab auch diesen wunderschönen TR/Agent.FMC wollte mal erfragen, ob ich den nach der Anleitung auf seite 1 entfernen kann.

Ahso muss wohl dazu sagen, dass bei mir des AntiVir folgende dll. datei anzeigt
C:\WINDOWS\system32\wvuspon.dll

Bin euch sehr dankbar!greetz

Logfile of HijackThis v1.99.1
Scan saved at 11:58:53, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\VNICMon.exe
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WebRebates4\webrebates.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WebRebates4\w11150.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Niclas Holland\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [FirewallSvr] C:\WINDOWS\FirewallSvr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wutmblskvn] C:\WINDOWS\system32\mvrxloq.exe
O4 - HKLM\..\Run: [mdcbkh] C:\WINDOWS\mdcbkh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Brmoh] C:\Program Files\Ickdivo\Lcoh.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4AE9E3BF-409D-4F61-9804-920968603919} (Vacpro.emsat_ver2) - http://www.7adpower.com/dialer/emsat_ver2.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/155fa552...dxIE601_de.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe