35 Viren mir Escan gefunden, gefährlich oder nicht?

manu1984 · 09.12.2007, 00:26

Guten Abend, habe heute schon zum x-ten Mal eine Virusmeldung von Avir bekommen und mich hier auf der Seite über den Virus informiert.

Ich denke, ich muss mir Sorgen machen, aber muss ich das wirklich? Kann mir bitte jemand helfen, da ich mich mit Viren noch nie befassen musste. Wie bekomme ich den ganzen Schrott vom PC (XP)? Vielen Dank im Voraus.

Escan habe ich jetzt gemacht und dabei Erstaunliches zu Tage befördert:

Object "adware.toolbar.sbsoft.h Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "adware.toolbar.sbsoft.h Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "video activex access Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unspypc Unclassified" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unspypc Unclassified" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unspypc Unclassified" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ezula Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zlob Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zlob Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "paq keylog 5.0 Commercial KeyLogger" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zlob Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ezula Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\APHandler.Handler.1" verweist auf das ungültige Objekt "{C16F618E-0B1A-426B-9216-1F588AE91F60}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\HMTBurnWizard.HMTWizard" verweist auf das ungültige Objekt "{0665F1C2-2697-44BF-B04E-904FC2E1A10F}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\HMTBurnWizard.HMTWizard.1" verweist auf das ungültige Objekt "{0665F1C2-2697-44BF-B04E-904FC2E1A10F}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQBasic.LiteDBConverter" verweist auf das ungültige Objekt "{B29DEB73-0511-4372-95E2-0EB539D929C9}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQBasic.LiteDBConverter.1" verweist auf das ungültige Objekt "{B29DEB73-0511-4372-95E2-0EB539D929C9}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQLite.Client" verweist auf das ungültige Objekt "{F0BA1D5B-6311-4B9F-9FE6-E17AB974F4FF}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQLite.Client.1" verweist auf das ungültige Objekt "{F0BA1D5B-6311-4B9F-9FE6-E17AB974F4FF}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQLiteShell.MCLiteShellExt" verweist auf das ungültige Objekt "{73B24247-042E-4EF5-ADC2-42F62E6FD654}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQLiteShell.MCLiteShellExt.1" verweist auf das ungültige Objekt "{73B24247-042E-4EF5-ADC2-42F62E6FD654}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQPhone.MPortsMapper" verweist auf das ungültige Objekt "{6BC0F888-74CA-41CF-B2B9-310C8B29F977}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQPhone.MPortsMapper.1" verweist auf das ungültige Objekt "{6BC0F888-74CA-41CF-B2B9-310C8B29F977}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQPhone.SipxPhoneManager.1" verweist auf das ungültige Objekt "{54BDE6EC-F42F-4500-AC46-905177444300}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQRtcControl.ICQRtcControl" verweist auf das ungültige Objekt "{76BACFF2-D763-4af0-ABD3-E8C2BBE9BAEC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQRtcControl.ICQRtcControl.1" verweist auf das ungültige Objekt "{76BACFF2-D763-4af0-ABD3-E8C2BBE9BAEC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQRtcWindow.MCRtcWindow" verweist auf das ungültige Objekt "{6D7A43A3-0766-4c36-96F5-A38A88051EEB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQRtcWindow.MCRtcWindow.1" verweist auf das ungültige Objekt "{6D7A43A3-0766-4c36-96F5-A38A88051EEB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.DhtmlPluginWrapper" verweist auf das ungültige Objekt "{8D18DFF4-0943-4347-8BCA-0C57033F6820}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.DhtmlPluginWrapper.1" verweist auf das ungültige Objekt "{8D18DFF4-0943-4347-8BCA-0C57033F6820}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.FlashPluginWrapper" verweist auf das ungültige Objekt "{60889EB6-622F-4CAC-A370-4511DC48A7CD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.FlashPluginWrapper.1" verweist auf das ungültige Objekt "{60889EB6-622F-4CAC-A370-4511DC48A7CD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.KeyValueCollection" verweist auf das ungültige Objekt "{FAC0ABDB-622D-4BC9-9830-C8D36C277CC2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.KeyValueCollection.1" verweist auf das ungültige Objekt "{FAC0ABDB-622D-4BC9-9830-C8D36C277CC2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.PluginManager" verweist auf das ungültige Objekt "{481CBFEB-860E-438F-BF1E-9E30D89949E8}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MISB.PluginManager.1" verweist auf das ungültige Objekt "{481CBFEB-860E-438F-BF1E-9E30D89949E8}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MozillaMapi" verweist auf das ungültige Objekt "{29F458BE-8866-11D5-A3DD-00B0D0F3BAA7}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MozillaMapi.1" verweist auf das ungültige Objekt "{29F458BE-8866-11D5-A3DD-00B0D0F3BAA7}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MSNMessenger.ContactsPicker" verweist auf das ungültige Objekt "{111C85E9-BB62-4528-A806-F0BE908E02F0}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MSNMessenger.ContactsPicker.1" verweist auf das ungültige Objekt "{111C85E9-BB62-4528-A806-F0BE908E02F0}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MXtra.DhtmlWrapper" verweist auf das ungültige Objekt "{8D18DFF4-0943-4347-8BCA-0C57033F6820}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Real\RealPlayer\RealPlay.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\Kodak\Kodak Software Updater\7288971\6.3.2.62-7288971L\Program\PrvCnt.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\Real\RealPlayer\RealPlay.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".conf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mlx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".scx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.9)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5B680750-760B-49E4-81E7-21B2B337F9F7}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{DF2C5F25-5736-4388-964A-92FBE3DD8197}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Desweiteren habe ich auch einen Hijack gemacht (s.u.)

HIJACK:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16:30, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\DOKUME~1\Manu\LOKALE~1\Temp\mexe.com
C:\PROGRA~1\MI1933~1\Office\OUTLOOK.EXE
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {D28DAA01-EE0F-0382-1024-3F3AEC382027} - stuffmon.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41F19720-1BDB-49B4-8199-77C3C47E4D01} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141477259000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD40B53-256E-4956-AA02-EC34D2B40984}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A36143A-F95B-47CC-B778-4A156C90BD5B}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3EF4C3-42C7-43CE-8443-383217089F7C}: NameServer = 85.255.115.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Workstation NetLogon Service (%AFå¤¶À¨) - Unknown owner - C:\WINDOWS\system32\javaeh.exe (file missing)

--
End of file - 9100 bytes

undoreal · 09.12.2007, 09:28

Hallöle Manu.

Du surfst momentan über die Ukraine zu uns. Ich empfehle dir daher dein System neuaufzusetzten um die Systemsicherheit wieder gewährleisten zu können. Eine Anleitung findest du in meiner Signatur.

Wenn du eine Bereinigung versuchen möchtest so arbeite folgende Schritte ab:

-Update deinen i_Net-Explorer auf v7.

-Fixe mit HJT alle .........(file missing) und..........(no file) Einträge.

-Werte das eScan log mit Hilfe der find.bat aus und poste das Ergebnis. Siehe auch Anleitung meiner Signatur.

-Poste ein frisches HJT log.

manu1984 · 09.12.2007, 17:20

Guten Tag erstmal,

Danke für die schnelle Hilfe. Hijack ist gemacht, die letzte Datei (file missing) lässt sich nicht fixen!

Surfe mit firefox, und der ist geupdatet. InternetExplorere jetzt(nach Hijack) aber auch)
Und in Wahrheit surfe ich aus Frankreich, weil ich da grad ein Austauschsemester mache ;-) Tschechien versteh ich nicht...

Hier das Escan Ergebnis (hab ich das jetzt richtig gemacht)?

Sat Dec 08 23:30:08 2007 => **********************************************************
Sat Dec 08 23:30:08 2007 => eScan AntiVirus Toolkit Utility.
Sat Dec 08 23:30:08 2007 => Copyright (c) MicroWorld
Sat Dec 08 23:30:08 2007 => **********************************************************
Sat Dec 08 23:30:08 2007 => Source: C:\DOKUME~1\Manu\Desktop\mwav.exe
Sat Dec 08 23:30:08 2007 => Version 9.5.9
Sat Dec 08 23:30:08 2007 => Protokolldatei: C:\DOKUME~1\Manu\LOKALE~1\Temp\MWAV.LOG
Sat Dec 08 23:30:08 2007 => MWAV Registered: FALSE.
Sat Dec 08 23:30:08 2007 => User Account: Manu (Administrator Mode)
Sat Dec 08 23:30:08 2007 => OS Type: Windows Workstation
Sat Dec 08 23:30:08 2007 => OS: Windows XP
Sat Dec 08 23:30:08 2007 => Ver: Service Pack 2 (Build 2600)
Sat Dec 08 23:30:08 2007 => Windows Root Folder: C:\WINDOWS
Sat Dec 08 23:30:08 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Dec 08 23:30:08 2007 => DHCP NameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:30:08 2007 => Interface0 NameServer: 192.168.2.1
Sat Dec 08 23:30:08 2007 => Interface1 NameServer: 85.255.115.91
Sat Dec 08 23:30:08 2007 => Interface0 DHCPNameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:30:08 2007 => Interface2 NameServer: 85.255.115.91
Sat Dec 08 23:30:08 2007 => Local Fixed Drives: c:\,d:\
Sat Dec 08 23:30:08 2007 => MWAV Mode: Only Scan files.

Sat Dec 08 23:30:08 2007 => **********Dateien, die in den letzten vierzehn Tagen im Windows-Ordner erstellt und modifiziert wurden **********
Sat Dec 08 23:30:09 2007 => C:\WINDOWS\system32\KMVIDC32.DLL (47104), 04-Dec-2007
Sat Dec 08 23:30:09 2007 => C:\boot.ini (222), 18-Jan-2005 [HSR]
Sat Dec 08 23:30:09 2007 => C:\bootfont.bin (4952), 18-Jan-2005 [HSR]
Sat Dec 08 23:30:10 2007 => C:\NTDETECT.COM (47564), 18-Jan-2005 [HSR]
Sat Dec 08 23:30:10 2007 => *********************************************************************************************

Sat Dec 08 23:30:10 2007 => Letztes Datum der MWAV Dateien: 05 Dec 2007 09:33:2.
Sat Dec 08 23:30:14 2007 => ** Changed Value of "NoDriveTypeAutoRun" in "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:255 to DWORD:145
Sat Dec 08 23:30:14 2007 => ** Changed Value of "NoShellSearchButton" in "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:1 to DWORD:0
Sat Dec 08 23:30:14 2007 => ** Changed Value of "NoBandCustomize" in "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:1 to DWORD:0
Sat Dec 08 23:30:14 2007 => ** Changed Value of "NoCDBurning" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:1 to DWORD:0
Sat Dec 08 23:30:14 2007 => ** Changed Value of "Path"...
Sat Dec 08 23:30:25 2007 => AV Bibliothek wird geladen...
Sat Dec 08 23:30:25 2007 => MWAV doing self scanning...
Sat Dec 08 23:30:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\getvlist.exe
Sat Dec 08 23:30:26 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\main.avi
Sat Dec 08 23:30:26 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\virus.avi
Sat Dec 08 23:30:26 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\ScanningProcess.exe (????)
Sat Dec 08 23:30:26 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\kave.dll
Sat Dec 08 23:30:26 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\prloader.dll
Sat Dec 08 23:30:26 2007 => MWAV files are clean.
Sat Dec 08 23:30:29 2007 => Virus-Datenbank Datum: 12/5/2007
Sat Dec 08 23:30:29 2007 => Virus-Datenbank Zähler: 472863
Sat Dec 08 23:31:14 2007 => Uninitializing Scanner (3)...
Sat Dec 08 23:31:20 2007 => Freeing Libraries (3)...
Sat Dec 08 23:31:20 2007 => AV Library Unloaded (3)...
Sat Dec 08 23:34:03 2007 => **********************************************************
Sat Dec 08 23:34:03 2007 => eScan AntiVirus Toolkit Utility.
Sat Dec 08 23:34:03 2007 => Copyright (c) MicroWorld
Sat Dec 08 23:34:03 2007 => **********************************************************
Sat Dec 08 23:34:03 2007 => Source: C:\bases\mwav.exe
Sat Dec 08 23:34:03 2007 => Version 9.5.9
Sat Dec 08 23:34:03 2007 => Protokolldatei: C:\DOKUME~1\Manu\LOKALE~1\Temp\MWAV.LOG
Sat Dec 08 23:34:03 2007 => MWAV Registered: FALSE.
Sat Dec 08 23:34:03 2007 => User Account: Manu (Administrator Mode)
Sat Dec 08 23:34:03 2007 => OS Type: Windows Workstation
Sat Dec 08 23:34:03 2007 => OS: Windows XP
Sat Dec 08 23:34:03 2007 => Ver: Service Pack 2 (Build 2600)
Sat Dec 08 23:34:03 2007 => Windows Root Folder: C:\WINDOWS
Sat Dec 08 23:34:03 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Dec 08 23:34:03 2007 => DHCP NameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:34:03 2007 => Interface0 NameServer: 192.168.2.1
Sat Dec 08 23:34:03 2007 => Interface1 NameServer: 85.255.115.91
Sat Dec 08 23:34:03 2007 => Interface0 DHCPNameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:34:03 2007 => Interface2 NameServer: 85.255.115.91
Sat Dec 08 23:34:03 2007 => Local Fixed Drives: c:\,d:\
Sat Dec 08 23:34:03 2007 => MWAV Mode: Only Scan files.

Sat Dec 08 23:34:03 2007 => **********Dateien, die in den letzten vierzehn Tagen im Windows-Ordner erstellt und modifiziert wurden **********
Sat Dec 08 23:34:03 2007 => C:\WINDOWS\R.COM (153600), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:34:03 2007 => C:\WINDOWS\REGEDIT.COM (153600), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:34:03 2007 => C:\WINDOWS\system32\KMVIDC32.DLL (47104), 04-Dec-2007
Sat Dec 08 23:34:03 2007 => C:\WINDOWS\system32\T.COM (140800), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:34:03 2007 => C:\WINDOWS\system32\TASKMGR.COM (140800), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:34:03 2007 => C:\boot.ini (222), 18-Jan-2005 [HSR]
Sat Dec 08 23:34:03 2007 => C:\bootfont.bin (4952), 18-Jan-2005 [HSR]
Sat Dec 08 23:34:03 2007 => C:\NTDETECT.COM (47564), 18-Jan-2005 [HSR]
Sat Dec 08 23:34:03 2007 => *********************************************************************************************

Sat Dec 08 23:34:03 2007 => Letztes Datum der MWAV Dateien: 05 Dec 2007 09:33:2.
Sat Dec 08 23:34:07 2007 => AV Bibliothek wird geladen...
Sat Dec 08 23:34:07 2007 => MWAV doing self scanning...
Sat Dec 08 23:34:07 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\getvlist.exe
Sat Dec 08 23:34:08 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\main.avi
Sat Dec 08 23:34:08 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\virus.avi
Sat Dec 08 23:34:08 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\ScanningProcess.exe (????)
Sat Dec 08 23:34:08 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\kave.dll
Sat Dec 08 23:34:08 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\prloader.dll
Sat Dec 08 23:34:08 2007 => MWAV files are clean.
Sat Dec 08 23:34:08 2007 => Virus-Datenbank Datum: 12/5/2007
Sat Dec 08 23:34:08 2007 => Virus-Datenbank Zähler: 472863
Sat Dec 08 23:34:44 2007 => Uninitializing Scanner (3)...
Sat Dec 08 23:34:48 2007 => Freeing Libraries (3)...
Sat Dec 08 23:34:48 2007 => AV Library Unloaded (3)...
Sat Dec 08 23:35:21 2007 => **********************************************************
Sat Dec 08 23:35:21 2007 => eScan AntiVirus Toolkit Utility.
Sat Dec 08 23:35:21 2007 => Copyright (c) MicroWorld
Sat Dec 08 23:35:21 2007 => **********************************************************
Sat Dec 08 23:35:21 2007 => Source: C:\bases\mwav.exe
Sat Dec 08 23:35:21 2007 => Version 9.5.9
Sat Dec 08 23:35:21 2007 => Protokolldatei: C:\DOKUME~1\Manu\LOKALE~1\Temp\MWAV.LOG
Sat Dec 08 23:35:21 2007 => MWAV Registered: FALSE.
Sat Dec 08 23:35:21 2007 => User Account: Manu (Administrator Mode)
Sat Dec 08 23:35:21 2007 => OS Type: Windows Workstation
Sat Dec 08 23:35:21 2007 => OS: Windows XP
Sat Dec 08 23:35:21 2007 => Ver: Service Pack 2 (Build 2600)
Sat Dec 08 23:35:21 2007 => Windows Root Folder: C:\WINDOWS
Sat Dec 08 23:35:21 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Dec 08 23:35:21 2007 => DHCP NameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:35:21 2007 => Interface0 NameServer: 192.168.2.1
Sat Dec 08 23:35:21 2007 => Interface1 NameServer: 85.255.115.91
Sat Dec 08 23:35:21 2007 => Interface0 DHCPNameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:35:21 2007 => Interface2 NameServer: 85.255.115.91
Sat Dec 08 23:35:21 2007 => Local Fixed Drives: c:\,d:\
Sat Dec 08 23:35:21 2007 => MWAV Mode: Only Scan files.

Sat Dec 08 23:35:21 2007 => **********Dateien, die in den letzten vierzehn Tagen im Windows-Ordner erstellt und modifiziert wurden **********
Sat Dec 08 23:35:21 2007 => C:\WINDOWS\R.COM (153600), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:21 2007 => C:\WINDOWS\REGEDIT.COM (153600), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:21 2007 => C:\WINDOWS\system32\KMVIDC32.DLL (47104), 04-Dec-2007
Sat Dec 08 23:35:21 2007 => C:\WINDOWS\system32\T.COM (140800), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:21 2007 => C:\WINDOWS\system32\TASKMGR.COM (140800), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:21 2007 => C:\boot.ini (222), 18-Jan-2005 [HSR]
Sat Dec 08 23:35:21 2007 => C:\bootfont.bin (4952), 18-Jan-2005 [HSR]
Sat Dec 08 23:35:21 2007 => C:\NTDETECT.COM (47564), 18-Jan-2005 [HSR]
Sat Dec 08 23:35:21 2007 => *********************************************************************************************

Sat Dec 08 23:35:21 2007 => Letztes Datum der MWAV Dateien: 05 Dec 2007 09:33:2.
Sat Dec 08 23:35:25 2007 => AV Bibliothek wird geladen...
Sat Dec 08 23:35:25 2007 => MWAV doing self scanning...
Sat Dec 08 23:35:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\getvlist.exe
Sat Dec 08 23:35:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\main.avi
Sat Dec 08 23:35:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\virus.avi
Sat Dec 08 23:35:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\ScanningProcess.exe (????)
Sat Dec 08 23:35:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\kave.dll
Sat Dec 08 23:35:25 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\prloader.dll
Sat Dec 08 23:35:25 2007 => MWAV files are clean.
Sat Dec 08 23:35:25 2007 => Virus-Datenbank Datum: 12/5/2007
Sat Dec 08 23:35:25 2007 => Virus-Datenbank Zähler: 472863
Sat Dec 08 23:35:28 2007 => Uninitializing Scanner (3)...
Sat Dec 08 23:35:33 2007 => Freeing Libraries (3)...
Sat Dec 08 23:35:33 2007 => AV Library Unloaded (3)...
Sat Dec 08 23:35:43 2007 => **********************************************************
Sat Dec 08 23:35:43 2007 => eScan AntiVirus Toolkit Utility.
Sat Dec 08 23:35:43 2007 => Copyright (c) MicroWorld
Sat Dec 08 23:35:43 2007 => **********************************************************
Sat Dec 08 23:35:43 2007 => Source: C:\bases\mwav.exe
Sat Dec 08 23:35:43 2007 => Version 9.5.9
Sat Dec 08 23:35:43 2007 => Protokolldatei: C:\DOKUME~1\Manu\LOKALE~1\Temp\MWAV.LOG
Sat Dec 08 23:35:43 2007 => MWAV Registered: FALSE.
Sat Dec 08 23:35:43 2007 => User Account: Manu (Administrator Mode)
Sat Dec 08 23:35:43 2007 => OS Type: Windows Workstation
Sat Dec 08 23:35:43 2007 => OS: Windows XP
Sat Dec 08 23:35:43 2007 => Ver: Service Pack 2 (Build 2600)
Sat Dec 08 23:35:43 2007 => Windows Root Folder: C:\WINDOWS
Sat Dec 08 23:35:43 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Dec 08 23:35:43 2007 => DHCP NameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:35:43 2007 => Interface0 NameServer: 192.168.2.1
Sat Dec 08 23:35:43 2007 => Interface1 NameServer: 85.255.115.91
Sat Dec 08 23:35:43 2007 => Interface0 DHCPNameServer: 212.27.54.252 212.27.53.252
Sat Dec 08 23:35:43 2007 => Interface2 NameServer: 85.255.115.91
Sat Dec 08 23:35:43 2007 => Local Fixed Drives: c:\,d:\
Sat Dec 08 23:35:43 2007 => MWAV Mode: Only Scan files.

Sat Dec 08 23:35:43 2007 => **********Dateien, die in den letzten vierzehn Tagen im Windows-Ordner erstellt und modifiziert wurden **********
Sat Dec 08 23:35:43 2007 => C:\WINDOWS\R.COM (153600), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:43 2007 => C:\WINDOWS\REGEDIT.COM (153600), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:43 2007 => C:\WINDOWS\system32\KMVIDC32.DLL (47104), 04-Dec-2007
Sat Dec 08 23:35:43 2007 => C:\WINDOWS\system32\T.COM (140800), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:43 2007 => C:\WINDOWS\system32\TASKMGR.COM (140800), 08-Dec-2007, Microsoft Corporation, Betriebssystem Microsoft® Windows®
Sat Dec 08 23:35:43 2007 => C:\boot.ini (222), 18-Jan-2005 [HSR]
Sat Dec 08 23:35:43 2007 => C:\bootfont.bin (4952), 18-Jan-2005 [HSR]
Sat Dec 08 23:35:43 2007 => C:\NTDETECT.COM (47564), 18-Jan-2005 [HSR]
Sat Dec 08 23:35:43 2007 => *********************************************************************************************

Sat Dec 08 23:35:43 2007 => Letztes Datum der MWAV Dateien: 05 Dec 2007 09:33:2.
Sat Dec 08 23:35:47 2007 => AV Bibliothek wird geladen...
Sat Dec 08 23:35:47 2007 => MWAV doing self scanning...
Sat Dec 08 23:35:47 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\getvlist.exe
Sat Dec 08 23:35:47 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\main.avi
Sat Dec 08 23:35:47 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\virus.avi
Sat Dec 08 23:35:47 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\ScanningProcess.exe (????)
Sat Dec 08 23:35:47 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\kave.dll
Sat Dec 08 23:35:47 2007 => Scanne Datei C:\DOKUME~1\Manu\LOKALE~1\Temp\prloader.dll
Sat Dec 08 23:35:47 2007 => MWAV files are clean.
Sat Dec 08 23:35:47 2007 => Virus-Datenbank Datum: 12/5/2007
Sat Dec 08 23:35:47 2007 => Virus-Datenbank Zähler: 472863

Sat Dec 08 23:37:17 2007 => **********************************************************
Sat Dec 08 23:37:17 2007 => eScan AntiVirus Toolkit Utility.
Sat Dec 08 23:37:17 2007 => Copyright (c) MicroWorld
Sat Dec 08 23:37:17 2007 =>
Sat Dec 08 23:37:17 2007 => Support: support@mwti.net
Sat Dec 08 23:37:17 2007 => Web: http://www.mwti.net
Sat Dec 08 23:37:17 2007 => **********************************************************
Sat Dec 08 23:37:17 2007 => Version 9.5.9
Sat Dec 08 23:37:17 2007 => Protokolldatei: C:\DOKUME~1\Manu\LOKALE~1\Temp\MWAV.LOG
Sat Dec 08 23:37:17 2007 => User Account: Manu
Sat Dec 08 23:37:17 2007 => Windows Root Folder: C:\WINDOWS
Sat Dec 08 23:37:17 2007 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Dec 08 23:37:17 2007 => OS: Windows XP
Sat Dec 08 23:37:17 2007 => Ver: Service Pack 2 (Build 2600)
Sat Dec 08 23:37:17 2007 => Letztes Datum der MWAV Dateien: 05 Dec 2007 09:33:2.

Sat Dec 08 23:37:17 2007 => Optionen vom Benutzer ausgewählt:
Sat Dec 08 23:37:17 2007 => Specherüberprüfung: Aktiviert
Sat Dec 08 23:37:17 2007 => Registry Überprüfung: Aktiviert
Sat Dec 08 23:37:17 2007 => StartUp-Ordner Überprüfung: Aktiviert
Sat Dec 08 23:37:17 2007 => System-Ordner Überprüfung: Aktiviert
Sat Dec 08 23:37:17 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Dec 08 23:37:17 2007 => Überprüfung der Dienste: Aktiviert
Sat Dec 08 23:37:17 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Dec 08 23:37:17 2007 => Überprüfung aller Festplatten :Aktiviert
Sat Dec 08 23:37:17 2007 => Verzeichniss Überprüfung: Deaktiviert

Und hier Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:12:41, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\MI1933~1\Office\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\CCleaner\ccleaner.exe
C:\hijack\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141477259000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD40B53-256E-4956-AA02-EC34D2B40984}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A36143A-F95B-47CC-B778-4A156C90BD5B}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3EF4C3-42C7-43CE-8443-383217089F7C}: NameServer = 85.255.115.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Workstation NetLogon Service ( %AFå ¤À¨) - Unknown owner - C:\WINDOWS\system32\javaeh.exe (file missing)

--
End of file - 7964 bytes

undoreal · 10.12.2007, 01:52

Zitat:

Und in Wahrheit surfe ich aus Frankreich, weil ich da grad ein Austauschsemester mache ;-) Tschechien versteh ich nicht...

^^ deine host Datei wurde gehijackt (entführt) und deine I-Net Verbindung wird über einen ukrainischen Server umgeleitet..

Zitat:

Hijack ist gemacht, die letzte Datei (file missing) lässt sich nicht fixen!

das ist ganz gut, dann wissen wir wo sich unser Schädling versteckt..

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Danach echsel bitte in den abgesicherten Modus und suche dort (wie in dem Link meiner Signatur beschrieben) nach der Datei " C:\WINDOWS\system32\javaeh.exe ".

Wenn du sie finden kannst so lösche sie.

Danach versuche erneut den Eintrag zu fixen.

Danach den Papierkorb leeren und CCleaner laufen lassen.

Nun Rechner neu starten und gucken ob die Datei verschwunden ist und der Hijack Eintrag nicht mehr auftaucht.

Wenn das nichts gebracht hat so musst du mit Avenger arbeiten:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\javaeh.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen und CCleaner arbeiten lassen.
5.) Lass Hijack nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

manu1984 · 10.12.2007, 14:55

Hallo und schönen guten Tag und vielen Dank erstmal

Also, diese Datei wurde nicht gefunden (vermutlich weil es sie gar nicht gibt, sonst müsste ich sie ja auch irgendwie finden)? Deshalb bekomme ich sie nicht weg. Will ich sie mit Hijack fixen, so hab ich hinterher ein leeres Hijack.
Hier nochmal folgende Daten von Avenger:

Was kann ich noch machen?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wmyeyomm

*******************

Script file located at: \??\C:\WINDOWS\jvbaupld.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\javaeh.exe not found!
Deletion of file C:\WINDOWS\system32\javaeh.exe failed!

Could not process line:
C:\WINDOWS\system32\javaeh.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

und von Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:31, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijack\HijackThis.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41F19720-1BDB-49B4-8199-77C3C47E4D01} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141477259000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD40B53-256E-4956-AA02-EC34D2B40984}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A36143A-F95B-47CC-B778-4A156C90BD5B}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3EF4C3-42C7-43CE-8443-383217089F7C}: NameServer = 85.255.115.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Workstation NetLogon Service (%AFå¤¶À¨) - Unknown owner - C:\WINDOWS\system32\javaeh.exe (file missing)

--
End of file - 8899 bytes

undoreal · 10.12.2007, 15:01

Zitat:

vermutlich weil es sie gar nicht gibt,

das glaube ich kaum..

Dann müssen wir etwas tiefer suchen und gucken wie die Datei versteckt wird. So etwas nennt man Rootkit und kommt grade ganz groß in Mode..

Suche dir aus folgenden Anleitungen 4 Programme oder mehr aus und führe die Tests durch. Gmer sollte dabei sein! AntiRootkit Scanner Anleitung

Danach lasse mal bitte PrevX über dein System gucken.. Eigentlich sollte er den Schädling finden..

Poste alle entstehenden logs.. Ich hoffe das klappt da es ansonsten echt Handarbeit wird den guten von deinem Rechner zu bekommen..

PS: Du solltest undbedingt ein AV-Prog von deinem Rechner werfen. Zwei behindern sich gegenseitig !! Spybot kann zusätzlich bleiben aber wirf AntiVir oder AVG runter.

manu1984 · 12.12.2007, 14:25

Vielen Dank erstmal und einen schönen Mittag,

Zitat:

Zitat von undoreal

PS: Du solltest undbedingt ein AV-Prog von deinem Rechner werfen. Zwei behindern sich gegenseitig !! Spybot kann zusätzlich bleiben aber wirf AntiVir oder AVG runter.

Hab ich mit Antivir getan, mit dem Ergebnis, das sich jetzt auch 3 Avir DAteien nicht fixen lassen bei Hijack

Gestern sind alle Virenprogramme auch nicht mehr selbst gestartet, und beim AVG lädt das Security-Shield nicht mehr / Sophos funktioniert auch nicht mehr.

Eine schöne Scheisse ist das. Aber die Rooter haben (glaube ich) nichts herausbekommen (s.u.) Erstmal Hijcak, dann (im 2. Kommentar) Router:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:07, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41F19720-1BDB-49B4-8199-77C3C47E4D01} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141477259000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD40B53-256E-4956-AA02-EC34D2B40984}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A36143A-F95B-47CC-B778-4A156C90BD5B}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F9EC675-6CA2-497A-9955-6F4E2AEECCF2}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{96B765FC-F5E2-4B6F-B169-B0EB4C7500AD}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3EF4C3-42C7-43CE-8443-383217089F7C}: NameServer = 85.255.115.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEBEE67E-6247-4C1D-958B-736A5D01B3B8}: NameServer = 85.255.115.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRpc.exe (file missing)
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoRT.exe (file missing)
O23 - Service: eTrust Antivirus Job Server (InoTask) - Unknown owner - C:\Programme\CA\eTrust Antivirus\InoTask.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Workstation NetLogon Service (%AFå¤¶À¨) - Unknown owner - C:\WINDOWS\system32\javaeh.exe (file missing)

--
End of file - 7550 bytes

35 Viren mir Escan gefunden, gefährlich oder nicht?

Log-Analyse und Auswertung: 35 Viren mir Escan gefunden, gefährlich oder nicht?