Pc is zur zeit ziemlich langsam , hoff ihr könnt mir sagen ob da was ned ok is .


vielen dank im vorraus .


lg Montana




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:12:31, on 14.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E7DDD230-45F3-660A-D22E-31E6758708B1} - C:\WINDOWS\system32\ofu.dll (file missing)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Comrade.exe] C:\Programme\GameSpy\Comrade\Comrade.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Den Spyware Doc würde ich löschen...

C:\WINDOWS\system32\ofu.dll


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\ofu.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {E7DDD230-45F3-660A-D22E-31E6758708B1} - C:\WINDOWS\system32\ofu.dll (file missing)

dann Klicke Fix Checked. Schließe HiJackThis.

Wenn die Datei schon weg ist, hat sie vermutlich Gdata gelöscht, nützlich wäre es zu wissen, was das für ein Fund es war. Schau doch mal in den Logs nach, ob Du was findest.

Beim Öffnen der Datei "C:\WINDOWS\system32\ineWc01\ineWc011065.exe" wurde der Virus "Trojan-Downloader.Win32.VB.cby" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\WINDOWS\system32\AрpPatch\аti2evxx.exe" wurde der Virus "not-a-virus:AdWare.Win32.PurityScan.gq" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\WINDOWS\SoftwareDistribution\Download\e3b9e8cd6239a53ea3486ac0e70fdfac\sp2gdr\user32.dll" wurde der Virus "Win32:Trojan-gen {Other}" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

eim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034455.exe" wurde der Virus "Trojan-Downloader.Win32.PurityScan.fg" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034457.dll" wurde der Virus "not-a-virus:AdWare.Win32.ZenoSearch.ad" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034458.exe" wurde der Virus "Trojan-Downloader.Win32.PurityScan.ez" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034374.dll" wurde der Virus "Win32:Trojan-gen {Other}" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034396.dll" wurde der Virus "Win32:Trojan-gen {Other}" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\System Volume Information\_restore{4C63B4AA-BA1D-4285-95C5-AC232C295110}\RP56\A0034415.exe" wurde der Virus "Trojan-Downloader.Win32.Agent.frs" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

Beim Öffnen der Datei "C:\Programme\Аdobe\wuaclt.exe" wurde der Virus "Trojan-Downloader.Win32.PurityScan.ez" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein.

eim Öffnen der Datei "C:\Programme\Outerinfo\FF\components\FF.dll" wurde der Virus "not-a-virus:AdWare.Win32.ZenoSearch.ad" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

........


usw.

sind noch ca. 18 andere Funde . wurden alle gelöscht laut gdata .



mfg Montana

Ich hoffe Du hast nicht auch die user32.dll überall löschen lassen!

Bei so vielen Infektionen müssen wir mal sehen, was sonst noch so da ist.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

hm was is wenn ich user32.dll überall gelöscht hab ? laut suche auf der platte is die user32.dll noch paar mal vorhanden


es war jedes verzeichnis in der filelist.txt bis auf

->>C:\WINDOWS\tasks<<-

hier der link zu der datei mit den verzeichnissen


lg Montana