cmdial3.dll als spyware erkannt, aber wie beheben???

tomaufschalke · 28.11.2007, 09:09

Hallo zusammen,
sowohl der security task manager als auch hijackthis (logfile anbei) identifizieren mir die Datei als gefährlich. Ausserdem erscheint ab und an auch ein gelbes Ausrufezeichen in der Taskleiste und probiert sich mit dem Internet Explorer zu verbinden, da ich den jedoch deinstalliert habe, ohne Erfolg.
Ich bekomme die cmdial3.dll Datei nicht in die Quarantäne verschoben oder gelöscht, auch nicht mit dem unlocker. "Zugriff verweigert". Auch im abgesicherten Modus.

Wie bekomm ich das Problem wieder los? Gibt es hier eine Wunderwaffe (Programm)?

Danke und Grüße,
tom

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:04:20, on 28.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Security Task Manager\TaskMan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {E1224F36-4CB9-4FD1-A1D2-2DA7B40D170D} - C:\WINDOWS\System32\cmdial3.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\TuxBox LogoViewer\MSDXM.OCX
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 5003 bytes

Chris4You · 28.11.2007, 09:31

Hi,

wenn es nur darum geht:

Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Files to delete:
C:\WINDOWS\System32\cmdial3.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträgen (siehe unten) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O2 - BHO: (no name) - {E1224F36-4CB9-4FD1-A1D2-2DA7B40D170D} - C:\WINDOWS\System32\cmdial3.dll

Poste ein neues HJ-Log und führe combofix (s. Signatur) aus,
und poste auch dieses Log!

Combofix
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

tomaufschalke · 28.11.2007, 09:57

hi chris,

hier die cmdial3.dll war auch nach dem ausführen von Avenger noch da
(Meldung:"Could not open file C:\WINDOWS\System32\cmdial3.dll for deletion
Deletion of file C:\WINDOWS\System32\cmdial3.dll failed!").

hier das logfile vor dem ausführen von Combofix + den log von Combofix.

Noch nicht behoben oder?

Grüße,
tom

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:48:35, on 28.11.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Lexmark 1200 Series\lxczbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: (no name) - {E1224F36-4CB9-4FD1-A1D2-2DA7B40D170D} - C:\WINDOWS\System32\cmdial3.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\TuxBox LogoViewer\MSDXM.OCX
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 4910 bytes

________________________________________________________________

ComboFix 07-11-19.4 - Tom 2007-11-28 9:50:14.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.704 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tom\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Tom\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Tom\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Tom\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF
-------\NPF

((((((((((((((((((((((( Dateien erstellt von 2007-10-28 bis 2007-11-28 ))))))))))))))))))))))))))))))
.

2007-11-28 08:45 <DIR> d-------- C:\Programme\Trend Micro
2007-11-27 18:35 <DIR> dr-h----- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\SecuROM
2007-11-27 18:35 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-27 18:25 <DIR> d-------- C:\Programme\Shortcut
2007-11-27 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Startmen?
2007-11-27 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-11-27 17:11 <DIR> d-------- C:\kav
2007-11-27 15:03 <DIR> d-------- C:\Programme\TuxBox LogoViewer
2007-11-27 12:43 <DIR> d-------- C:\Programme\PDFCreator Toolbar
2007-11-27 12:43 <DIR> d-------- C:\Programme\PDFCreator
2007-11-27 12:43 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2007-11-27 12:12 <DIR> d-------- C:\dbox2
2007-11-27 12:10 <DIR> d-------- C:\Programme\Dbox2 Bootmanager
2007-11-26 16:31 609,792 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2007-11-26 16:31 593,408 --a------ C:\WINDOWS\system32\h323msp.dll
2007-11-26 16:31 442,880 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-11-26 16:31 253,952 --a------ C:\WINDOWS\system32\h323.tsp
2007-11-26 16:31 253,952 --a--c--- C:\WINDOWS\system32\dllcache\h323.tsp
2007-11-26 16:31 40,960 -----c--- C:\WINDOWS\system32\dllcache\evtgprov.dll
2007-11-26 16:31 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2007-11-26 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\AdobeUM
2007-11-26 15:45 1,003,008 --a------ C:\WINDOWS\system32\esent.dll
2007-11-26 15:40 545 --a------ C:\WINDOWS\UC.PIF
2007-11-26 06:38 <DIR> d-------- C:\WINDOWS\system32\bits
2007-11-26 06:37 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-26 06:37 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-11-26 06:37 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2007-11-26 06:37 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-11-26 06:37 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-11-25 11:55 16,760 --a------ C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-24 20:52 <DIR> d-------- C:\Temp
2007-11-24 20:36 <DIR> d-------- C:\Programme\ClearProg
2007-11-24 20:34 <DIR> d-------- C:\Programme\RegCleaner
2007-11-24 09:43 <DIR> d-------- C:\Programme\Security Task Manager
2007-11-24 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-11-24 09:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-24 04:08 83,456 --a------ C:\WINDOWS\system32\cmdial3.dll
2007-11-24 00:22 <DIR> d-------- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\CyberLink
2007-11-23 22:36 <DIR> d-------- C:\WINDOWS\Sun
2007-11-23 22:28 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-11-23 22:28 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-11-23 22:28 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2007-11-23 22:28 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-11-23 22:28 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-11-23 22:28 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-11-23 22:28 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-11-23 22:25 266,240 --a------ C:\WINDOWS\rmvgor.dll
2007-11-23 22:24 <DIR> d-------- C:\Programme\RichVideoCodec
2007-11-23 22:23 <DIR> d-------- C:\Programme\GetData
2007-11-23 21:29 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-23 21:07 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-11-23 21:07 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-11-23 21:06 1,230,336 --a--c--- C:\WINDOWS\system32\dllcache\msvidctl.dll
2007-11-23 21:06 354,816 --a------ C:\WINDOWS\system32\psisdecd.dll
2007-11-23 21:06 285,696 --a------ C:\WINDOWS\system32\kstvtune.ax
2007-11-23 21:06 226,304 --a------ C:\WINDOWS\system32\kswdmcap.ax
2007-11-23 21:06 83,968 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2007-11-23 21:06 48,512 --a------ C:\WINDOWS\system32\drivers\stream.sys
2007-11-23 21:06 47,104 --a------ C:\WINDOWS\system32\wstdecod.dll
2007-11-23 21:06 47,104 --a--c--- C:\WINDOWS\system32\dllcache\wstdecod.dll
2007-11-23 21:06 18,688 --a------ C:\WINDOWS\system32\drivers\wstcodec.sys
2007-11-23 21:06 18,688 --a--c--- C:\WINDOWS\system32\dllcache\wstcodec.sys
2007-11-23 21:06 16,896 --a--c--- C:\WINDOWS\system32\dllcache\msyuv.dll
2007-11-23 21:06 16,896 --a------ C:\WINDOWS\system32\bdaplgin.ax
2007-11-23 21:06 14,976 --a------ C:\WINDOWS\system32\drivers\streamip.sys
2007-11-23 21:06 14,848 --a------ C:\WINDOWS\system32\ipsink.ax
2007-11-23 20:35 <DIR> d-------- C:\Programme\Java
2007-11-23 20:35 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-23 20:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-11-23 19:36 <DIR> d-------- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Ahead
2007-11-23 19:35 <DIR> d-------- C:\Programme\Nero
2007-11-23 19:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-11-22 23:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-27 17:28 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Skype
2007-11-27 17:01 7,968 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-27 17:01 5,744 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-27 17:01 2,864 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-27 17:01 131,104 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-27 11:43 264,097 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_1750.exe
2007-11-24 03:09 19,200 ----a-w C:\WINDOWS\system32\drivers\dokallaj.dat
2007-11-23 21:22 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-23 18:14 81,920 ----a-w C:\WINDOWS\nethop.exe
2007-11-22 21:42 --------- d-----w C:\Programme\Skype
2007-11-22 21:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-11-22 21:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-11-22 21:41 --------- d-----w C:\Programme\CyberLink DVD Solution
2007-11-22 21:41 --------- d-----w C:\Programme\CyberLink
2007-11-22 21:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-11-22 21:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-22 21:26 --------- d-----w C:\Programme\FaxTools
2007-11-22 21:26 --------- d-----w C:\Programme\ABBYY FineReader 6.0
2007-11-22 21:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2007-11-22 21:18 --------- d-----w C:\Programme\FRITZ!DSL
2007-11-22 21:17 --------- d-----w C:\Programme\Lexmark 1200 Series
2007-11-22 21:17 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2007-11-22 21:16 --------- d-----w C:\Programme\FRITZ!Box
2007-11-22 21:13 --------- d-----w C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\ATI
2007-11-22 21:07 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-22 21:07 --------- d-----w C:\Programme\ATI Technologies
2007-11-22 21:04 --------- d-----w C:\Programme\AMD
2007-11-22 20:48 --------- d-----w C:\Programme\microsoft frontpage
2007-11-22 20:47 --------- d-----w C:\Programme\Online-Dienste
2007-11-22 20:46 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-22 20:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-22 20:39 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-11-22 20:39 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1224F36-4CB9-4FD1-A1D2-2DA7B40D170D}]
2003-04-02 13:00 83456 --a------ C:\WINDOWS\System32\cmdial3.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-02 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2006-05-06 14:29]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35]
"NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 10:50]
"Lexmark 1200 Series"="C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 06:26]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-27 18:10]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-02 13:00]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R0 ubrnkucm;ubrnkucm;C:\WINDOWS\System32\drivers\dokallaj.dat
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\System32\drivers\es1969.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\K:\NTGLM7X.sys

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-28 09:52:34
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-28 9:53:09 - machine was rebooted
.
--- E O F ---

Rene-gad · 28.11.2007, 10:10

Zitat:

Zitat von tomaufschalke

Wie bekomm ich das Problem wieder los? Gibt es hier eine Wunderwaffe (Programm)?

Die Wunderwaffe heißt: Microsoft Sicherheitsupdates

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Seit 2004 gibt es ein Service Pack 2 (SP2) für Windows XP als Pflichtprogramm, SP3 ist für den Anfang 2008 geplant. Bitte besorge dir SP2 und installiere Windows neu nach Anleitung: http://www.trojaner-board.de/12154-a...sicherung.html

Chris4You · 28.11.2007, 13:43

Hi,

hmm, das gefällt mir überhaupt nicht...

Rootkitsuche:
Gmer:
gmer.zip
Poste den Report...

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

So, bin noch mal über alles drüber, was ist das hier:
C:\WINDOWS\System32\drivers\doka llaj.dat

Ein Treiber im DAT-Format?

Bitte online prüfen lassen....

Chris4You · 28.11.2007, 16:11

Hi,

bitte prüfe online die Datei:
C:\WINDOWS\nethop.exe

Was enthält der Ordner:
C:\Dokumente und Einstellungen\All Users\Startmen?

Arbeite unbedingt das erste Posting von mir ab,
dann entscheiden wir ob wir smithi (SDfix) noch ansetzen...

chris

cmdial3.dll als spyware erkannt, aber wie beheben???

Plagegeister aller Art und deren Bekämpfung: cmdial3.dll als spyware erkannt, aber wie beheben???