mehrere Trojaner auf dem Rechner

katfr · 03.02.2008, 20:13

Hallo zusammen,

ich habe Anfang der Woche einen Befall eines Trojaners auf meinem Rechner gehabt (durch unachtsames öffnen einer vermeindlichen crack-datei *schäm*)
Mein Norton hat mich darauf aufmerksam gemacht. In den vergangenen Tagen kamen noch einmal andere Trojaner Warnungen.
Norton sagt zwar er habe die Trojaner entfernt, aber dem ist sicher nicht so.

Ich habe mich über dieses Board und über die Homepage von Symantec informiert und versucht die Sache zu bereinigen.
(habe Ad-Aware 2007 benutzt, und verschiedenste Anweißungen von Symantec im abgesicherten Modus durchgeführt)

Nun bin ich aber leider kein Fachmann und würde euch bitten mein HijackThis Log-File zu überprüfen.

Wäre super wenn mir einer Tipps geben könnte wie ich nun weiter verfahren soll. Ist ein Neuaufsetzen des Rechners dringend erforderlich oder komme ich irgendwie drum herum.

Vielen Dank schon mal im Voraus für die Mühen...

Logfile of HijackThis v1.99.1
Scan saved at 19:52:30, on 03.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\__Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\HDD Health\hddhealth.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SecurityHistory\mcui32.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [e82430dc] rundll32.exe "C:\WINDOWS\system32\ufytjoxu.dll",b
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwot.dll,startup
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - h**p://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\__Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

TrojanHunter · 03.02.2008, 20:51

moin

Bitte ma folgendes bei virustotal.com testen lassen

"C:\WINDOWS\system32\ufytjoxu.dll",b
C:\WINDOWS\system32\drvwot.dll,startup

das bitte unter HijackThis fixen

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Partypoker\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

Lasse bitte zusätzlihc noch Combofix durchlaufen und poste anschliesend das Log

katfr · 03.02.2008, 23:10

Also ich habe nun die zwei Dateien auf virustotal.com prüfen lassen.
Die erste war mit 28% und die zweite mit 56% als Trojaner identifiziert.
Was soll ich tun. Beide löschen?

Die anderen Sachen habe ich bei HijackThis gefixt.

Ebenfalls habe ich Combofix durchlaufen lassen. Allerdings wurde kein log-file erstellt. Oder eine txt-Datei. Wo finde ich dieses log-File??
EDIT:
so jetzt hat´s funktioniert (siehe unten).

Zudem kam nach dem Neustart durch Combofix ein Popup "Windows Security Alert". In dem wurde auf mögliche Spyware hingewiesen und ich sollte ein Systemcheck machen lassen (hab ich natürlich nicht gemacht). Bei den kleinen Icons neben der Uhr waren auch plötzlich zwei Zeichen angeblich von Windows Antivirus. Ich sollte doch bitte dringend einen Komplettcheck machen, mein PC wäre befallen... (ach echt!)
Was hat das alles zu bedeuten. Ist das normal oder ist das wegen den Trojanern.

ComboFix 08-02.03.1 - F 2008-02-03 23:31:52.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.581 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\....\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\SYSTEM32\ajoqaxbg.ini
C:\WINDOWS\system32\ayrrtqei.dll
C:\WINDOWS\system32\bmmipcfv.dll
C:\WINDOWS\system32\efcywxv.dll
C:\WINDOWS\system32\geebx.dll
C:\WINDOWS\system32\jqojhysu.dll
C:\WINDOWS\system32\lnbnskcy.dll
C:\WINDOWS\system32\pjtrbowm.dll
C:\WINDOWS\system32\qapxgvld.dll
C:\WINDOWS\SYSTEM32\qbfovlxm.ini
C:\WINDOWS\system32\ufytjoxu.dll
C:\WINDOWS\SYSTEM32\usyhjoqj.ini
C:\WINDOWS\SYSTEM32\uxojtyfu.ini
C:\WINDOWS\SYSTEM32\vfcpimmb.ini
C:\WINDOWS\system32\winzdn32.dll
C:\WINDOWS\SYSTEM32\xbeeg.ini
C:\WINDOWS\SYSTEM32\xbeeg.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-03 bis 2008-02-03 ))))))))))))))))))))))))))))))
.

2008-02-03 22:15 . 2008-02-03 22:15 <DIR> d-------- C:\Programme\xerox
2008-02-03 22:12 . 2008-02-03 22:47 60,416 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ComboFix.sys
2008-02-03 21:42 . 2008-02-03 22:08 <DIR> d-------- C:\QooBox
2008-02-03 21:41 . 2000-08-31 08:00 212,480 --a------ C:\WINDOWS\SYSTEM32\swxcacls.exe
2008-02-03 21:41 . 2000-08-31 08:00 161,792 --a------ C:\WINDOWS\SYSTEM32\swreg.exe
2008-02-03 21:41 . 2000-08-31 08:00 136,704 --a------ C:\WINDOWS\SYSTEM32\swsc.exe
2008-02-03 21:41 . 2000-08-31 08:00 98,816 --a------ C:\WINDOWS\SYSTEM32\sed.exe
2008-02-03 21:41 . 2000-08-31 08:00 80,412 --a------ C:\WINDOWS\SYSTEM32\grep.exe
2008-02-03 21:41 . 2000-08-31 08:00 73,728 --a------ C:\WINDOWS\SYSTEM32\fdsv.exe
2008-02-03 21:41 . 2000-08-31 08:00 68,096 --a------ C:\WINDOWS\SYSTEM32\zip.exe
2008-02-03 21:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-02-03 21:41 . 2000-08-31 08:00 49,152 --a------ C:\WINDOWS\SYSTEM32\VFind.exe
2008-02-03 19:50 . 2008-02-03 23:11 <DIR> d-------- C:\Programme\HiJackThis
2008-02-03 18:44 . 2008-02-03 18:46 121,409,752 --a------ C:\SYM_REGISTRY_BACKUP.reg
2008-02-03 18:44 . 2008-02-03 18:44 121,409,296 --a------ C:\SYM_REGISTRY_BACKUP.old
2008-02-03 18:24 . 1,071,796,224 C:\hiberfil.sys
2008-02-03 12:51 . 2008-02-03 12:51 15,872 --a------ C:\WINDOWS\SYSTEM32\drvwot.dll
2008-02-02 18:32 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\SYSTEM32\d3dx9_34.dll
2008-02-02 01:35 . 2008-02-02 01:35 <DIR> d-------- C:\Programme\__Lavasoft
2008-02-02 01:35 . 2008-02-02 01:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-02 01:34 . 2008-02-02 01:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 00:24 . 2008-02-02 11:56 <DIR> d--hs---- C:\Config.Msi
2008-01-30 10:55 . 2008-02-02 13:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-30 10:55 . 2008-01-30 10:55 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-25 22:28 . 2008-01-25 22:28 <DIR> d-------- C:\Programme\NVIDIA
2008-01-25 22:26 . 2008-01-25 22:26 8 --a------ C:\WINDOWS\SYSTEM32\nvModes.dat
2008-01-25 22:23 . 2008-01-25 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-01-25 22:18 . 2008-01-25 22:18 <DIR> d-------- C:\WINDOWS\nview
2008-01-25 22:18 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\SYSTEM32\NVUNINST.EXE
2008-01-25 22:18 . 2008-01-25 22:19 163,353 --a------ C:\WINDOWS\SYSTEM32\nvapps.xml
2008-01-25 22:18 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\SYSTEM32\nvdisp.nvu
2008-01-22 10:39 . 2007-09-24 22:30 135,168 --a------ C:\WINDOWS\SYSTEM32\javaw.exe
2008-01-22 10:39 . 2007-09-24 22:30 135,168 --a------ C:\WINDOWS\SYSTEM32\java.exe
2008-01-22 10:39 . 2007-09-24 23:31 126,976 --a------ C:\WINDOWS\SYSTEM32\javaws.exe
2008-01-08 12:08 . 2008-01-08 12:08 3,290,934 --a------ C:\WINDOWS\ACD Wallpaper.bmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 22:00 --------- d-----w C:\Programme\Mozilla Firefox
2008-02-03 21:50 --------- d-----w C:\Programme\HDD Health
2008-02-03 21:49 194,910 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-03 21:49 1,610,612,736 --sha-w C:\pagefile.sys
2008-02-03 20:36 --------- d-----w C:\Programme\Trillian
2008-02-03 19:37 --------- d-----w C:\Programme\Canon
2008-02-03 15:51 0 ----a-w C:\gaim-2.0.0beta6.exe
2008-02-02 19:54 --------- d-----w C:\Programme\eMule
2008-02-02 17:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-02 14:49 43,646 ----a-w C:\Dokumente und Einstellungen\F\Anwendungsdaten\wklnhst.dat
2008-02-02 00:34 --------- d-----w C:\Programme\Gemeinsame Dateien
2008-02-01 23:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-02-01 23:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-02-01 13:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-31 11:30 --------- d-----w C:\Programme\Sony Ericsson
2008-01-31 11:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-01-31 11:03 --------- d-----w C:\Programme\Kerio
2008-01-31 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-27 13:13 --------- d-----w C:\Programme\Winamp
2008-01-22 09:39 --------- d-----w C:\Programme\Java
2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-09 17:28 --------- d-----w C:\Dokumente und Einstellungen\F\Anwendungsdaten\AdobeUM
2008-01-03 13:01 --------- d-----w C:\Programme\DivX
2008-01-02 18:21 17,642,616 ----a-w C:\WINDOWS\SYSTEM32\MRT.exe
2007-12-23 14:50 --------- d-----w C:\Programme\UltraMon
2007-12-21 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Realtime Soft
2007-12-21 17:22 --------- d-----w C:\Dokumente und Einstellungen\F\Anwendungsdaten\Realtime Soft
2007-12-21 17:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Realtime Soft
2007-12-20 13:16 --------- d-----w C:\Programme\Norton AntiVirus
2007-12-19 20:11 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-12-19 20:11 60,800 ----a-w C:\WINDOWS\SYSTEM32\S32EVNT1.DLL
2007-12-19 20:11 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-12-19 20:11 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-12-19 20:11 --------- d-----w C:\Programme\Symantec
2007-12-17 12:12 130,736 ----a-w C:\Dokumente und Einstellungen\F\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-16 17:09 163,712 ----a-w C:\WINDOWS\system32\drivers\vidstub.sys
2007-12-16 15:19 --------- d-----w C:\Programme\Windows Sidebar
2007-12-16 14:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Microsoft Shared
2007-12-16 13:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\SYSTEM32\lsdelete.exe
2007-12-12 18:52 --------- d-----w C:\Programme\Internet Explorer
2007-12-05 00:41 94,208 ----a-w C:\WINDOWS\SYSTEM32\nvmctray.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\SYSTEM32\nvwddi.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\SYSTEM32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\SYSTEM32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\SYSTEM32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\SYSTEM32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\SYSTEM32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\SYSTEM32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\SYSTEM32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\SYSTEM32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\SYSTEM32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\SYSTEM32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\SYSTEM32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\SYSTEM32\nvapi.dll
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\SYSTEM32\nvudisp.exe
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\SYSTEM32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\SYSTEM32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\SYSTEM32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\SYSTEM32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\SYSTEM32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\SYSTEM32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\SYSTEM32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\SYSTEM32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\SYSTEM32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\SYSTEM32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\SYSTEM32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\SYSTEM32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\SYSTEM32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\SYSTEM32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\SYSTEM32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\SYSTEM32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\SYSTEM32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\SYSTEM32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\SYSTEM32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\SYSTEM32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\SYSTEM32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\SYSTEM32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\SYSTEM32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\SYSTEM32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\SYSTEM32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\SYSTEM32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\SYSTEM32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\SYSTEM32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\SYSTEM32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\SYSTEM32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\SYSTEM32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\SYSTEM32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\SYSTEM32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\SYSTEM32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\SYSTEM32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\SYSTEM32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\SYSTEM32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\SYSTEM32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\SYSTEM32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\SYSTEM32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\SYSTEM32\nvrsnl.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-01-31 11:19 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alt+Q Hotkey Tool"="C:\WINDOWS\Alt+Q Hotkey.exe" [ ]
"UberIcon"="C:\Programme\UberIcon\UberIcon Manager.exe" [2006-02-24 01:32 188416]
"WinRoll"="C:\Programme\WinRoll\winroll.exe" [2006-01-01 23:27 15872]
"Yz Shadow"="C:\Programme\YzShadow\YzShadow.exe" [2006-02-24 03:51 172032]
"HDDHealth"="C:\Programme\HDD Health\hddhealth.exe" [2005-06-24 09:17 715264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 15:42 1404928]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE" [2003-06-18 01:00 45056]
"CTHelper"="CTHELPER.EXE" [2004-03-11 09:50 28672 C:\WINDOWS\SYSTEM32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 11:28 45056]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [ ]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [ ]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 15:21 270336]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-01-12 17:07 155648]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-28 13:15 180269]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 08:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
"System Files Updater"="C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe" [2006-02-26 00:41 118485]
"Adobe Photo Downloader"="C:\Programme\Adobe\3.0\Apps\apdproxy.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 06:30 483328]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-08-24 22:07 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 21:53 714608]
"UltraMon"="C:\Programme\UltraMon\UltraMon.exe" [2007-04-01 06:47 299520]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 94208]
"MSDisp32"="C:\WINDOWS\system32\drvwot.dll" [2008-02-03 12:51 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-11-07 19:54:42 25214]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\cinemsup.sys [2003-12-19 01:00]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 09:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 09:21]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14:22]
R2 IWPORT;IWPORT;C:\WINDOWS\SYSTEM32\DRIVERS\IWPORT.SYS [2001-11-02 08:21]
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" [2007-08-24 22:07]
R2 MSSQL$INVENTORCONTENT;MSSQL$INVENTORCONTENT;C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe [2002-12-17 16:26]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 09:21]
R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 21:22]
R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 21:23]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-08-23 13:35]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-01-12 18:32]
S3 EPPSCSIx;Agfa EPPSCSI Driver;C:\WINDOWS\system32\DRIVERS\EPPSCAN.sys [1999-10-21 16:10]
S3 SQLAgent$INVENTORCONTENT;SQLAgent$INVENTORCONTENT;C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlagent.EXE [2002-12-17 16:23]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-15 11:00:38 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - F.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 23:40:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\Programme\UberIcon\UberIcon.dll
-> C:\Programme\WinRoll\winroll.dll
.

katfr · 04.02.2008, 14:35

Brauche nach wie vor Hilfe! Please

katfr · 04.02.2008, 20:25

So, hier nochmal ein aktuelles HijackThis-Logfile:
(Kann mir jemand sagen was davon zu halten ist?)

Logfile of HijackThis v1.99.1
Scan saved at 20:18, on 2008-02-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\__Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\HDD Health\hddhealth.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\eMule\emule.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Norton AntiVirus\navw32.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\__Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Chwreif · 04.02.2008, 21:46

Hallo katfr,

zu aller erst Mehrfachposting löst auch nicht dein Problem. Wenn niemand antworten will/kann, dann antwortet eben niemand. Zu deinem Problem : Zuerst hast du dich richtig verhalten in dem du einen Log mit HijackThis erstellt hast. Jedoch hast du dich dann falsch verhalten, in dem du willkürlich schädliche Dateien gelöscht/gefix hast. Das war falsch, weil man so nicht herausbekommen kann um welche Art von Trojaner es sich gehandelt hat. Je nach Art muss man entscheiden wie man weiter vorfährt. Bei Werbe-Pop Up-Trojanern muss man z.B. nicht neuinstallieren, bei gefährlichen Backdoor Programmen meistens aber schon. Hierzu gibt meistens der Name des Schädlings Auskunft. Einfach den Namen in google eingeben und danach suchen. Weiter Infos erhält man über virustotal.com, hier bekommt auch meist noch andere Namen serviert nach den man auf den jeweiligen Hompages der Hersteller suchen kann. Wichtig ist auch die Box von Norman, weil dort sehr genau die Aktivitäten des Schädlings detalliert geschildert werden. ==> Am Besten das Ergebnis bzw. die Ergebnisse von virustotal.com hier im Topic posten. Wenn du die schädlichen Dateien in Quarantäne gestellt hast und den Scan nicht mehr hast, stell die Dateien wieder her und lade sie wieder bei virustotal.com hoch. Wenn du weder Namen, Dateien noch virustotalscan hast ==> formatiern, weil niemand mehr sagen kann was es genau für ein Befall war. Das ist sehr blöd, weil für mich bis auf die 3 Meldungen in deinem ersten log von hijackthis.de, der log ok aussieht und es nicht so aussieht als wäre es ein schlimmer Befall gewesen, wo man hätte formatieren müssen. Aber wenn du jetzt keine Infos mehr bekommen kannst, dann würde ich auf jeden Fall formatieren.

mehrere Trojaner auf dem Rechner

Log-Analyse und Auswertung: mehrere Trojaner auf dem Rechner