| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.12.2007, 19:25
| #1 |
| |  TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Hallo Leute, mocht mal allen Hallo sagen bin erst neu hier, habe mich hier schon bisschen eingelesen, aber die lösungen sind oft Rechner spezifisch darum poste ich hier mal mein Problem. War gerade dabei meine Datein zu sortieren da ich den PC neu aufsetzen will, jetzt habe ich ein paar Trojaner und ich will meine Daten z.Z. nicht sichern weil sonst wahrscheinlich es unötig wäre wenn ich im "frischen" windows wieder Trojaner habe!  Also mein AntiVir spingt auf ein paar unterschieliche Trojaner an:  TR/Dldr.ConHook.Gen TR/Crypt.PE2CX.Gen TR/Drop.Virtumo ja habe mal einen HijackThis logfile erstellt: Logfile of HijackThis v1.99.1 Scan saved at 19:06:02, on 14.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\vsnpstd3.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\System32\svchost.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Messenger\msmsgs.exe V:\vmware\vmware-authd.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\Fabs\Desktop\GFX\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/at/ý R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0D4DC294-505E-43B3-AFCF-3170804DB754} - C:\WINDOWS\system32\mljji.dll (file missing) O2 - BHO: (no name) - {7555906D-70F1-4FD6-8250-4FBE75252F58} - C:\WINDOWS\system32\jkklifd.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Sothink SWF Decompiler - E:\Programme\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - E:\Programme\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - E:\Programme\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: jkklifd - jkklifd.dll (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - V:\vmware\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe habe den Logfile auch mal bei HijackThis auswerten das einzig Auffällige das ich Gefunden habe war: O2 - BHO: (no name) - {0D4DC294-505E-43B3-AFCF-3170804DB754} - C:\WINDOWS\system32\mljji.dll (file missing) O2 - BHO: (no name) - {7555906D-70F1-4FD6-8250-4FBE75252F58} - C:\WINDOWS\system32\jkklifd.dll (file missing) das waren die infizierten Datein die ich bereits mehrere male versucht habe zu entfernen mit unterschiedlichen Tools. mfg Fabs |
|
14.12.2007, 19:39
| #2 |
 | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Hi,
__________________ich hätte mal gerne den Pfad, wo sich die 3 Viren befinden! (C:\WINDOWS\sytem32 ... o.a)
__________________ |
|
14.12.2007, 20:03
| #3 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen TR/Drop.Virtumo in C:\WINDOWS\sytem32\opnollk.dll
__________________TR/Crypt.PE2CX.Gen ist in c:\recylers..bin da gerade dabei mit hilfe von Tuneup es sicher zu löschen! TR/Dldr.ConHook findet AntiVir z.Z. vl. habe ich es geschaft mit hilfe des avengers diesen zu entfernen! Aber ich prüfe nochmals! |
|
14.12.2007, 20:12
| #4 | |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Hi, hätte dir jetzt den Avenger empfohlen, aber wenn du den schon kennst... Wir versuchen es mit der Killbox (Download -> siehe Signatur) -> Aber bitte im Abgesicherten Modus! - "Delete on Reboot" anhaken - Bei "Full Path..." bitte folgendes reinkopieren: Zitat:
- dann wird gefragt: "Do you want to reboot? " - klicke "yes" anschließend PC neustarten.
__________________ Gruß 11Boy  |
|
14.12.2007, 20:24
| #5 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen danke, werde das gleich probiereb, so AntiVir hat den TR/Dldr.ConHook.Gen in C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Tempory Internet Files\..... soll ich mal cookies etc alles mal leeren, bezweifle aber das er da weg geht oder? mfg |
|
14.12.2007, 20:29
| #6 | ||
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Versuche das: Zitat:
... jedoch der genaue Pfad(!) mit dem Avenger zu löschen _____________ - "Input script manually" anhacken  - Auf die Lupe klicken  - kopiere anschließend in "View/edit script" : Zitat:
 - Done klicken - die gruene Ampel anklicken  das Script wird nun ausgeführt. dann wird der PC automatisch neustarten
__________________ --> TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Geändert von 11Boy11 (14.12.2007 um 20:47 Uhr) |
|
15.12.2007, 10:49
| #7 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen so habe alles probiert wie es mir hier gesagt wurde, hat nicht alles perfekt geklappt, jetzt befinden sich die Trojaner alle samt in C:\System Volume Information\_restore{.....}.... also meint ihr klappt das wenn ich meine daten auf meiner zweiten Festplatte und auf meiner extrenen Festplatte sichere, ohne das der Trojaner diese auch angreift und ich die andere PLatte dann neu formatiere und aufsetzte? weil aufsetzten will ich sowieso! mfg |
|
15.12.2007, 11:06
| #8 |
  | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Hallo mach bitte alle versteckten Dateien und Ordner sichtbar, anschließend deaktiviere bitte die Systemwiederherstellung. Lade dir bitte mal Vundofix Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. anschließend lade dir bitte Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp und dann möchte ich noch ein Silentrunners Log sehen Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Poste bitte alle relevanten Logs. MFG |
|
15.12.2007, 14:39
| #9 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen okay habe das mal erledigt, habe auch meine ganzen daten am PC gesichert, soll ich jetzt die Trojaner noch entfernen oder soll ich windows gleich ma neu aufsetzten? Filelist: ---- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\ 15.12.2007 09:44 1.610.612.736 pagefile.sys 15.12.2007 09:03 404 avenger.txt 14.12.2007 20:03 198 VundoFix.txt 13.12.2007 20:02 46 remove.txt 13.12.2007 19:59 12 13.12.2007195909.txt 13.12.2007 15:21 1.024 .rnd 12.12.2007 18:53 724 moduleName.txt ---- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\WINDOWS\system32 13.12.2007 19:33 31.799 ijjlm.ini 13.12.2007 19:32 31.799 ijjlm.ini2 13.12.2007 15:44 403.748 perfh009.dat 13.12.2007 15:44 63.554 perfc009.dat 13.12.2007 15:44 418.154 perfh007.dat 13.12.2007 15:44 76.206 perfc007.dat 13.12.2007 15:44 967.348 PerfStringBackup.INI 12.12.2007 17:02 2.206 wpa.dbl 11.12.2007 21:28 387.268 TZLog.log 07.12.2007 20:58 99.904 PnkBstrB.exe 15.11.2007 18:38 59.676 mlfcache.dat 14.11.2007 08:26 450.560 jscript.dll 13.11.2007 12:31 60.416 tzchange.exe ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\WINDOWS\Prefetch 15.12.2007 14:29 11.130 FIND.EXE-0EC32F1E.pf 15.12.2007 14:29 12.998 CMD.EXE-087B4001.pf 15.12.2007 14:29 156.640 WINRAR.EXE-3588DFE8.pf 15.12.2007 14:28 105.746 FIREFOX.EXE-1D57670A.pf 15.12.2007 14:28 18.604 VERCLSID.EXE-3667BD89.pf 15.12.2007 14:13 304.186 LOGON.SCR-151EFAEA.pf 15.12.2007 14:03 168.060 GUARDGUI.EXE-1BD45C30.pf 15.12.2007 13:36 127.408 NOTEPAD.EXE-336351A9.pf 15.12.2007 13:29 64.658 AVSCAN.EXE-05AECC0E.pf 15.12.2007 10:53 11.000 RUNDLL32.EXE-451FC2C0.pf 15.12.2007 10:16 71.390 DFRGNTFS.EXE-269967DF.pf 15.12.2007 10:16 61.790 DEFRAG.EXE-273F131E.pf 15.12.2007 10:15 673.448 Layout.ini 15.12.2007 09:50 93.156 JUCHECK.EXE-323089AA.pf 15.12.2007 09:48 72.738 SPYBOTSD.EXE-1D495A65.pf 15.12.2007 09:47 21.618 CALC.EXE-02CD573A.pf 15.12.2007 09:46 66.444 CCLEANER.EXE-065E2F3F.pf 15.12.2007 09:46 167.274 WUAUCLT.EXE-399A8E72.pf 15.12.2007 09:46 22.356 WMIAPSRV.EXE-1E2270A5.pf 15.12.2007 09:46 59.262 AVCENTER.EXE-37584419.pf 15.12.2007 09:43 16.802 LOGONUI.EXE-0AF22957.pf 15.12.2007 09:42 55.830 WMIPRVSE.EXE-28F301A9.pf 15.12.2007 09:42 64.460 SHREDDER.EXE-250EB8B0.pf 15.12.2007 09:03 77.432 AVENGER.EXE-017672C7.pf 15.12.2007 09:02 54.014 AVCONFIG.EXE-3B8B9C26.pf 15.12.2007 09:02 24.772 TASKMGR.EXE-20256C55.pf 15.12.2007 08:57 36.216 KILLBOX.EXE-0CDB9E2A.pf 15.12.2007 08:55 110.338 SKYPEPM.EXE-03F1BFBD.pf 15.12.2007 08:55 87.322 CLI.EXE-02B0DB56.pf 15.12.2007 08:55 16.892 IMAPI.EXE-0BF740A4.pf 15.12.2007 08:55 79.570 ICQLITE.EXE-2AEFACA7.pf 15.12.2007 08:55 5.688 ISSCH.EXE-13FD372D.pf 15.12.2007 08:55 9.150 WINAMPA.EXE-2BDF6A16.pf 15.12.2007 08:55 10.394 VSNPSTD3.EXE-325AACFE.pf 15.12.2007 08:55 10.648 SOUNDMAN.EXE-19745A34.pf 15.12.2007 08:55 10.496 JUSCHED.EXE-20EE5D4A.pf 15.12.2007 08:55 11.222 CHKUPD.EXE-0686DE4E.pf 15.12.2007 08:55 113.980 USERINIT.EXE-30B18140.pf 15.12.2007 08:54 54.648 AVGNT.EXE-36CA4640.pf 14.12.2007 21:25 46.176 HELPSVC.EXE-2878DDA2.pf 14.12.2007 20:26 84.594 IEXPLORE.EXE-2CA9778D.pf 14.12.2007 20:25 21.684 DWWIN.EXE-30875ADC.pf 14.12.2007 20:25 53.988 DUMPREP.EXE-1B46F901.pf 14.12.2007 20:13 171.664 AVNOTIFY.EXE-22AE9451.pf 14.12.2007 20:12 77.086 MSIMN.EXE-0B61806C.pf 14.12.2007 20:06 62.060 SKYPE.EXE-21F19BC8.pf 14.12.2007 19:11 25.816 MSMSGS.EXE-32066BA5.pf 14.12.2007 19:11 14.596 VUNDOFIX.EXE-1BB2F905.pf 14.12.2007 19:06 14.764 THIS.EXE-2F506DD2.pf 14.12.2007 18:59 56.956 WINAMP.EXE-08C38ED9.pf 13.12.2007 20:02 9.884 JAVA.EXE-1980726E.pf 13.12.2007 20:01 11.466 REGEDIT.EXE-1B606482.pf 13.12.2007 19:59 60.598 INTEGRATOR.EXE-3967D297.pf 13.12.2007 19:59 47.526 UPDATEWIZARD.EXE-13F4E8AB.pf 13.12.2007 19:57 4.502 ZIP.EXE-1BAD456F.pf 13.12.2007 19:57 88.302 EXPLORER.EXE-082F38A9.pf 13.12.2007 19:31 13.526 HIJACKTHIS.EXE-0FED7B2D.pf 13.12.2007 19:29 37.998 AVENGER.EXE-1C852A33.pf 13.12.2007 19:22 12.618 HIJACKTHIS.EXE-1E65D662.pf 13.12.2007 19:22 32.614 HIJACKTHIS.EXE-2502405B.pf 13.12.2007 19:13 74.802 ALG.EXE-0F138680.pf 13.12.2007 18:30 33.682 UPDATE.EXE-13D57D76.pf 13.12.2007 18:30 13.252 PREUPD.EXE-358AA1C1.pf 13.12.2007 18:25 79.504 AZUREUS.EXE-08FB98C8.pf 13.12.2007 18:25 22.856 RUNDLL32.EXE-166B13CF.pf 13.12.2007 18:25 18.650 JAVAW.EXE-037D6A47.pf 13.12.2007 15:40 59.058 MSIEXEC.EXE-2F8A8CAE.pf 13.12.2007 15:08 24.470 ISUSPM.EXE-01DE8D55.pf 13.12.2007 15:08 6.534 NEROCHECK.EXE-092C6DFA.pf 13.12.2007 15:08 8.622 QTTASK.EXE-2D7EEF34.pf 13.12.2007 14:48 1.146.878 NTOSBOOT-B00DFAAD.pf ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\WINDOWS 15.12.2007 13:45 49 NeroDigital.ini 15.12.2007 09:45 2.016.516 WindowsUpdate.log 15.12.2007 09:45 159 wiadebug.log 15.12.2007 09:44 50 wiaservc.log 15.12.2007 09:44 2.048 bootstat.dat 15.12.2007 09:43 32.570 SchedLgU.Txt 07.12.2007 20:02 54.156 QTFont.qfn 29.11.2007 16:02 1.409 QTFont.for ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\WINDOWS\tasks 15.12.2007 09:44 6 SA.DAT 14.12.2007 17:15 394 1-Klick-Wartung.job 18.08.2001 13:00 65 desktop.ini 3 Datei(en) 465 Bytes 0 Verzeichnis(se), 9.107.812.352 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\WINDOWS\temp 15.12.2007 09:45 85 vmware-vmount.log 15.12.2007 09:45 16.384 Perflib_Perfdata_200.dat 2 Datei(en) 16.469 Bytes 0 Verzeichnis(se), 9.107.812.352 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5899-6E4E Verzeichnis von C:\DOKUME~1\Fabs\LOKALE~1\Temp 15.12.2007 14:29 126.456 filelist.txt 15.12.2007 09:50 514 jusched.log 15.12.2007 09:45 16.384 Perflib_Perfdata_b58.dat 15.12.2007 09:45 16.384 Perflib_Perfdata_708.dat 4 Datei(en) 159.738 Bytes 0 Verzeichnis(se), 9.107.812.352 Bytes frei Silentrunner: "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "snpstd3" = "C:\WINDOWS\vsnpstd3.exe" [empty string] "ISUSPM Startup" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup" ["Macrovision Corporation"] "ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["Macrovision Corporation"] "QuickTime Task" = ""C:\Programme\QuickTime\QTTask.exe" -atboottime" ["Apple Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {0D4DC294-505E-43B3-AFCF-3170804DB754}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\mljji.dll" [file not found] {7555906D-70F1-4FD6-8250-4FBE75252F58}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\jkklifd.dll" [file not found] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{9DED7A30-D572-4D21-8D82-6945EA697400}" = "Macromedia FlashPaper Context Menu" -> {HKLM...CLSID} = "FlashPaperContextHandler Class" \InProcServer32\(Default) = "E:\Programme\Macromedia Studio 8\FlashPaper 2\FlashPaperContextMenu.dll" [null data] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "E:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview" -> {HKLM...CLSID} = "ACDWFTHMBPRXY" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"] "{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "AutoCAD Digital Signatures Icon Overlay Handler" -> {HKLM...CLSID} = "AcSignIcon" \InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"] "{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview" -> {HKLM...CLSID} = "ACTHUMBNAIL" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"] "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx" -> {HKLM...CLSID} = "AlcoholShellEx" \InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"] "{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL" -> {HKLM...CLSID} = "SmartFTP Shell Extension DLL" \InProcServer32\(Default) = "C:\Programme\SmartFTP Client 2.0\smarthook.dll" ["SmartFTP"] "{6B19FEC2-A45B-11CF-9045-00A0C9039735}" = "Registered ActiveX Controls" -> {HKLM...CLSID} = "Registered ActiveX Controls" \InProcServer32\(Default) = "C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS] "{D545EBD1-BD92-11CF-8772-00A0C9039735}" = "Developer Studio Components" -> {HKLM...CLSID} = "Developer Studio Components" \InProcServer32\(Default) = "C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS] "{410AEE10-AB1F-4D31-8432-779CCE247A01}" = "C:\Programme\HappyFoto\Bestellassistent\FotoSync.dll" -> {HKLM...CLSID} = "HappyFoto" \InProcServer32\(Default) = "C:\Programme\HappyFoto\Bestellassistent\FotoSync.dll" ["WebWare, Dipl.-Ing. Christian Aberger"] "{3C05B56D-4D0A-45F9-8078-931A5250F661}" = "C:\Programme\HappyFoto\Bestellassistent\FotoSync.dll" -> {HKLM...CLSID} = "HappyFoto" \InProcServer32\(Default) = "C:\Programme\HappyFoto\Bestellassistent\FotoSync.dll" ["WebWare, Dipl.-Ing. Christian Aberger"] "{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{7555906D-70F1-4FD6-8250-4FBE75252F58}" = "*b" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\jkklifd.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Aedebug\ <<!>> "Debugger" = ""C:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\msdev.exe" -p %ld -e %ld" [MS] "Auto" = "0" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] <<!>> jkklifd\DLLName = "jkklifd.dll" [file not found] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "FileWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"] HappyFoto\(Default) = "{3C05B56D-4D0A-45F9-8078-931A5250F661}" -> {HKLM...CLSID} = "HappyFoto" \InProcServer32\(Default) = "C:\Programme\HappyFoto\Bestellassistent\FotoSync.dll" ["WebWare, Dipl.-Ing. Christian Aberger"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Macromedia.FlashPaper.ContextMenu\(Default) = "{9DED7A30-D572-4D21-8D82-6945EA697400}" -> {HKLM...CLSID} = "FlashPaperContextHandler Class" \InProcServer32\(Default) = "E:\Programme\Macromedia Studio 8\FlashPaper 2\FlashPaperContextMenu.dll" [null data] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "FileWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "FileWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Default executables: -------------------- <<!>> HKCU\Software\Classes\.scr\(Default) = "AutoCADScriptFile" <<!>> HKCU\Software\Classes\AutoCADScriptFile\shell\open\command\(Default) = ""C:\WINDOWS\system32\notepad.exe" "%1"" [MS] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint" -> {HKLM...CLSID} = "Easy-WebPrint" \InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data] |
|
15.12.2007, 16:42
| #10 | |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Hallo Zitat:
Nein, im Moment ist es meiner Meinung nicht nötig, den Rechner zu plätten, es sei denn du hast ein Image was du schnell und problemlos zurückspielen kannst, sonst können wir den Rest auch noch versuchen zu beseitigen. Hast du die Systemwiederherstellung deaktiviert? Wenn nein dann bitte jetzt nachholen. Starte nochmal Avenger  2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\ijjlm.ini
C:\WINDOWS\system32\ijjlm.ini2
 4.) Danach das System unverzüglich neu starten lassen 5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. MFG |
|
15.12.2007, 17:01
| #11 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen okay thx, ich war ja während ich den Trojaner entdeckt habe beim sortieren und sichern meiner Daten, weil ich neu aufsetzten wollte, und ich will sowieso neu aufsetzten darum ists ja egal, nur ich muss meine verflixte Motherboard Cd finden! Aber das mit dem avenger probier ich nochmal! thx |
|
15.12.2007, 17:07
| #12 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen okay habe des erledigt: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\afovrtwk ******************* Script file located at: \??\C:\pfvwffmr.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ijjlm.ini deleted successfully. File C:\WINDOWS\system32\ijjlm.ini2 deleted successfully. Completed script processing. ******************* Finished! Terminate. Logfile of HijackThis v1.99.1 Scan saved at 17:06:28, on 15.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\vsnpstd3.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\System32\svchost.exe V:\vmware\vmware-authd.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\****\Desktop\GFX\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/at/ý R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0D4DC294-505E-43B3-AFCF-3170804DB754} - C:\WINDOWS\system32\mljji.dll (file missing) O2 - BHO: (no name) - {7555906D-70F1-4FD6-8250-4FBE75252F58} - C:\WINDOWS\system32\jkklifd.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Sothink SWF Decompiler - E:\Programme\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - E:\Programme\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - E:\Programme\Sothink SWF Decompiler\InternetExplorer.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: jkklifd - jkklifd.dll (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - V:\vmware\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe |
|
15.12.2007, 17:28
| #13 | |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen Hallo starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an : Zitat:
Lade dir mal den Ccleaner CCleaner Download - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan im abgesicherten Modus (beim start F8 drücken). Nach einem erneuten Neustart in den normalen Modus berichte bitte, das sollte es eigentlich gewesen sein. Die Systemwiederherstellung kann nun wieder aktiviert werden, wenn gewünscht. MFG |
|
15.12.2007, 17:43
| #14 |
| | TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen ja habe alles erledigt bis auf die Prüfung habe ich mir erspart, weil ichwerde den pc jetzt neu aufsetzten! DANKE an alle die mir geholfen haben, echt klasse hier werde euch auf jeden Fall weiterempfehlen! |
|
| Themen zu TR/Dldr.ConHook.Gen,TR/Drop.Virtumo, TR/Crypt.PE2CX.Gen |
| adobe, antivir, auswerten, avg, avira, bho, canon, computer, desktop, einstellungen, entfernen, excel, firefox, heulen, hijack, hijackthis, hijackthis logfile, infizierte, internet, internet explorer, logfile, mehrere, mozilla, mozilla firefox, neu aufsetzen, nicht sicher, software, system, trojaner, urlsearchhook, windows, windows xp |
Linear-Darstellung
