Hallo Leute, habe folgendes Problem beim öffnen von google suchergebnissen öffnet sich meistens "www.search-daily.com" hat jemand eine ahnung was das ist. Beim Spywaredoctor habe ich schon den Trojan.Nuklus gefunden und entfernt.Zurzeit benutze ich Firefox dort hab ich das Problem bis jetzt noch nicht.Wäre euch dankbar wenn ihr mir helfen könntet.

Vielen Dank tobsen87

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:06, on 17.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\tuneup2004\MemOptimizer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - (no file)
O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe

--
End of file - 6665 bytes

Hi,

eine Auffälligkeit:
c:\windows\system32\connapih.dll ist BHO
und
ist bei Logon eingetragen
Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll
was nicht sein kann bzw. sehr ungewöhnlich ist...

Und dann gibt es noch ein weiteres BHO (BrowserhelperObject),
C:\WINDOWS\system32\cdmodemo.dll

Es gibt Hinweise auf "ADSPY/Yatool.A", darum kümmern wir uns später...

Daher onlinecheck:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:

C:\WINDOWS\SYSTEM32\connapih.dll
C:\WINDOWS\system32\cdmodemo.dll

Poste das Ergebnis mit Filename....

chris

Danke für die schnelle Antwort so hier hab ich jetz mal gemacht hoffe du kannst mir weiterhelfen.

C:\WINDOWS\SYSTEM32\connapih.dll

Datei ConnAPIh.dll empfangen 2007.12.17 00:48:03 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.Morphine.Gen
Authentium - - -
Avast - - -
AVG - - Obfustat.ACUA
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - VirTool:Win32/Obfuscator.Q
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.Morphine.Gen
weitere Informationen
MD5: d603fa7d866891263f42f333867834cd


C:\WINDOWS\system32\cdmodemo.dll


Datei cdmodemo.dll empfangen 2007.12.18 09:16:55 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Spy.BZub.NGP.7
Authentium - - -
Avast - - -
AVG - - BHO.CVX
BitDefender - - Trojan.Spy.Bzub.NGP
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.DownLoader.38058
eSafe - - -
eTrust-Vet - - Win32/Kvol!generic
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - BZub.ARU
Ikarus - - Trojan-PWS.Win32.Lmir
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Boaxxe.C
NOD32v2 - - -
Norman - - BZub.ARU
Panda - - Trj/Downloader.RKS
Prevx1 - - Trojan.DoS.Win32.Opdos
Rising - - -
Sophos - - -
Sunbelt - - Trojan-Spy.Bzub.NGP
Symantec - - Trojan.Adclicker
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Spy.BZub.NGP.7
weitere Informationen
MD5: b9c228372922f8901791e9c11274d5c7

Hi,

bitte das hier abarbeiten, danach ein neues HJ-Log (nenne vorher die HJ-Exe auf test.com um).

Also:
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks

Files to delete:
c:\windows\system32\connapih.dll
C:\WINDOWS\system32\cdmodemo.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträgen Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O2 - BHO: (no name) - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - (no file)
O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll
O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll

Chris

Vielen Dank für deine schnelle Hilfe.Hier die LogFile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:48, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\tuneup2004\MemOptimizer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6DB9DF30-ED61-421D-8607-9DAB7D70EC1F} - c:\windows\system32\connapih.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {C9BEE2A7-EEE3-4971-8F30-78CC54AC4677} - C:\WINDOWS\system32\cdmodemo.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kis] "E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\tuneup2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O20 - AppInit_DLLs: E:\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: glpnsxks - C:\WINDOWS\SYSTEM32\connapih.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\tuneup2004\WinStylerThemeSvc.exe

--
End of file - 6475 bytes

Hi,

hast Du das Logfile vor Ausführung von Avenger und HJ gemacht?
Es sind nämlich alle Einträge nach- wie vor da!
Hat Avenger bzw. HJ einen Fehler gebracht?

chris

Hab ich danach gemacht.
Hier die Logfile von Avenger.Bei HJ war nix.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\skakhtvw

*******************

Script file located at: \??\C:\WINDOWS\rlstkafr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file c:\windows\system32\connapih.dll for deletion
Deletion of file c:\windows\system32\connapih.dll failed!

Could not process line:
c:\windows\system32\connapih.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\cdmodemo.dll for deletion
Deletion of file C:\WINDOWS\system32\cdmodemo.dll failed!

Could not process line:
C:\WINDOWS\system32\cdmodemo.dll
Status: 0xc0000022



Could not open registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks failed!
Status: 0xc0000022


Completed script processing.

*******************

Finished! Terminate.

Hi,

shit, Avenger wird blockiert!
Trenne den Rechner vom Internet, schalte eventuell mitlaufende Virenscanner aus und probiere es dann noch mal im abgesicherten Modus...
Poste das Avenger-Log!

Chris

Glaube hat wieder nich funktioniert.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rjkjtqaa

*******************

Script file located at: \??\C:\WINDOWS\system32\fxnufbvp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file c:\windows\system32\connapih.dll for deletion
Deletion of file c:\windows\system32\connapih.dll failed!

Could not process line:
c:\windows\system32\connapih.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\cdmodemo.dll for deletion
Deletion of file C:\WINDOWS\system32\cdmodemo.dll failed!

Could not process line:
C:\WINDOWS\system32\cdmodemo.dll
Status: 0xc0000022



File registry keys to delete not found!
Deletion of file registry keys to delete failed!

Could not process line:
registry keys to delete
Status: 0xc0000034



Could not open file HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks for deletion
Deletion of file HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks failed!

Could not process line:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\glpnsxks
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

Hi,

okay, Killbox:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
c:\windows\system32\connapih.dll
C:\WINDOWS\system32\cdmodemo.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Poste auch hier das Log, Virenscanner etc. abschalten.
Die Killbox meldet sofort, wenn Ihre Einträge wieder entfernt werden...

Dann haben wir allerdings ein Problem...
chris

Pocket Killbox version 2.0.0.881
Running on Windows XP as bp_tobsen(Administrator)
was started @ Dienstag, Dezember 18, 2007, 4:37 PM

# 1 [Delete on Reboot]
Path = c:\windows\system32\connapih.dll


# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\cdmodemo.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 4:37:55 PM
Killbox Closed(Exit) @ 4:38:03 PM
__________________________________________________

Hi,

genau das habe ich erwartet, die netten Viecher überwachen den Rechner und wenn was für sie "unbekömmliches" kommt, wird es entfernt...

Kannst Du von einer CD booten und die Dateien dann per Hand umbennen?
Bei der neuen Ct ist eine Notefall-CD dabei....

Chris

Ps.: Okay, combofix:

In diesem Fall: Schwereres Geschütz:
Combofix (Link im Anhang);
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Falls das nicht klappt:
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
c:\windows\system32\connapih.dll
C:\WINDOWS\system32\cdmodemo.dll

2.
Schleppe diese Datei zur ComboFix.exe und lasse sie dort fallen.
ComboFix wird jetzt starten und die Datei ausfuehren
Nach Neustart des Rechners, poste das log von ComboFix.

Ich hol mir schnell die ct hoffe die gibts hier noch. Ist das Problem noch zu lösen oder ist es zu krass. Welche Daten soll ich dann umbenennen.Danke echt für deine Hilfe.

Hi,

nenne die beiden Dateien:
c:\windows\system32\connapih.dll
C:\WINDOWS\system32\cdmodemo.dll
um, in dem Du z. B. ein .vir anhängst:
c:\windows\system32\connapih.dll.vir
C:\WINDOWS\system32\cdmodemo.dll.vir

Dann findet Windows sie nicht mehr und kann sie nicht starten (was zu Fehlermeldungen führen kann). Auf der CD ist auch Antivir drauf, das wie folgt einstellen und über die Festplatte laufen lassen, alles in Qurantäne verschieben lassen, da dort mit der Heuristik gearbeitet wird und die Fehlerkennung hoch ist:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/showthread.php?t=54192
Führe einen Systemscan durch und poste das Ergebnis!

So, bin jetzt weg aber morgen wieder zu erreichen (ca. 07:30 uhr)...

chris

ComboFix 07-12-18.1 - bp_tobsen 2007-12-18 16:54:16.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\bp_tobsen\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\plus32.ocx
C:\WINDOWS\system32\connapih.dll . . . . Nicht in der Lage zu löschen

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_GRNAETZI
-------\grnaetzi


((((((((((((((((((((((( Dateien erstellt von 2007-11-18 bis 2007-12-18 ))))))))))))))))))))))))))))))
.

2007-12-18 16:00 . 2007-12-18 16:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser
2007-12-18 15:59 . 2006-04-08 14:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-12-18 15:59 . 2007-12-18 16:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-12-18 15:59 . 2006-04-08 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-12-18 15:59 . 2006-04-08 15:00 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-17 21:19 . 2007-12-17 21:19 <DIR> d-------- C:\Programme\Trend Micro
2007-12-17 20:24 . 2007-12-17 20:24 0 --a------ C:\WINDOWS\nsreg.dat
2007-12-16 17:38 . 2007-12-17 20:03 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-16 17:38 . 2007-12-16 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\PC Tools
2007-12-16 17:38 . 2007-12-18 16:28 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-16 17:38 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-16 17:38 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-16 17:38 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-16 17:38 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-16 17:38 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-16 17:36 . 2007-12-17 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-12-16 17:17 . 2007-12-16 17:17 256 --a------ C:\WINDOWS\adaway.lic
2007-12-14 16:43 . 2007-12-14 16:43 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-12-14 16:43 . 2007-12-14 16:43 741,632 --a------ C:\WINDOWS\system32\kqgpbpmq.dat
2007-12-14 16:43 . 2007-12-14 16:43 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-12-14 16:43 . 2007-12-14 16:43 119,552 --a------ C:\WINDOWS\system32\llcsbaxv.dat
2007-12-14 16:43 . 2007-12-14 16:43 42,240 --a------ C:\WINDOWS\system32\kxgpnrji.dat
2007-12-14 16:43 . 2007-12-14 16:43 36,096 --a------ C:\WINDOWS\system32\pymohqls.dat
2007-12-14 16:43 . 2007-12-14 16:43 35,072 --a------ C:\WINDOWS\system32\ikqualhr.dat
2007-12-14 16:29 . 2007-12-14 16:36 <DIR> d-------- C:\WINDOWS\system32\AppCert
2007-12-14 16:29 . 2007-12-18 16:56 83,456 --a------ C:\WINDOWS\system32\connapih.dll
2007-12-14 16:29 . 19,456 C:\WINDOWS\system32\drivers\brwadndm.dat
2007-12-14 16:28 . 2002-08-29 13:00 84,992 --a------ C:\WINDOWS\system32\cdmodemo.dll
2007-11-22 17:37 . 2007-11-23 19:55 29 --a------ C:\WINDOWS\AudACM.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-18 15:58 22,575,648 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-18 15:57 46,904 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-18 15:57 455,712 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-18 15:57 307,580 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-16 16:36 --------- d-----w C:\Programme\Google
2007-11-08 21:27 --------- d-----w C:\Programme\MSN Messenger
2007-10-24 14:48 --------- d-----w C:\Dokumente und Einstellungen\bp_tobsen\Anwendungsdaten\AdobeUM
2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6DB9DF30-ED61-421D-8607-9DAB7D70EC1F}]
2007-12-18 16:56 83456 --a------ c:\windows\system32\connapih.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9BEE2A7-EEE3-4971-8F30-78CC54AC4677}]
2002-08-29 13:00 84992 --a------ C:\WINDOWS\system32\cdmodemo.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"TuneUp MemOptimizer"="E:\tuneup2004\MemOptimizer.exe" [2004-11-09 20:16]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 17:37]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl" []
"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-03-09 14:29 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:58 C:\WINDOWS\system32\rundll32.exe]
"kis"="E:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" [2006-03-24 19:09]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=E:\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk
backup=C:\WINDOWS\pss\Kodak EasyShare Software.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
2005-03-31 08:30 1106944 --a------ C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
C:\WINDOWS\system32\dumprep 0 -u

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PcSync"=E:\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
"Steam"=E:\Valve\Steam\\Steam.exe -silent
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools-1033"="E:\daemon.exe" -lang 1033
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"HP Software Update"=E:\Drucker\HP\HP Software Update\HPWuSchd2.exe
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
"PCSuiteTrayApplication"=E:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_07\bin\jusched.exe

R0 kwspborh;kwspborh;C:\WINDOWS\system32\drivers\brwadndm.dat []
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 16:34]
R2 vcool;vcool;C:\WINDOWS\system32\vcool.sys [2002-11-27 14:55]
S3 Ca100v;Smart Cam, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca100v.sys [2002-08-30 05:35]
S3 drhard;DRHARD;C:\WINDOWS\System32\DRIVERS\DRHARD.SYS [2005-12-01 09:49]
S3 RushTopDevice;RushTopDevice;E:\MSI\Core Center\RushTop.sys []
S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk100.sys [2002-07-26 01:19]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-18 16:58:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\WINDOWS\system32\AppCert\prx93f.dll
.
Zeit der Fertigstellung: 2007-12-18 17:00:21 - machine was rebooted