tracking cookie kann nicht entfernt werden

halbeportion · 26.02.2008, 14:29

Hilfe!
Vor einiger Zeit hatte ich mir einen Virus eingefangen, genauer gesagt einen Trojaner mit der Bezeichnung "Trojan.Vundo" und höchster Gefährlichkeit.
Der ist nach 4maligem entfernen weg. (hoffe ich doch)
Ich benutze Norton 360
Dann habe ich erneut einen Virencheck durchlaufen lasen und der zeigte mir einen sog "Tracking Cookie" an. mit niedriger Gefähdungsstufe.
auch mehrmaliges entfernen, wird nicht mehr angezeigt.

Allerdings hab ich folgendes Problem:
Wenn ich im Internet surfe, springen mir trotz voll eingeschaltetem Popupblocker in regelmäßigem Abstand zunächst Popups auf. (Neckermann, Partypoker etc.)
Und dann kommt der größte Clou:
Ab und zu kommt ein kleines Fenster auf dem es heißt: WARNUNG: ihr sytem ist nicht 100% Viren und Spywarefrei, um jetzt einen kostenlosen... usw.

Man kann wählen zwischen "OK" und "abbrechen"
Ich bin ja nicht doof und drücke abbrechen.
Trotzdem springt dann eine neue Website auf. Entweder "NeuerSchild" (angeblich ein antivirenprogramm) oder "SySKontroller" (auch irgendwie sowas)

Außerdem springen ab und zu verschiedene Popups auf, über denen steht "Powered by ZEDO"

Ich bin mir sicher, dass ich einen ganz fetten Virus auf dem Pc habe und brauche dringendst Rat.

hier mein logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:27:42, on 26.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\surium\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07C7156E-D651-4ACC-9AD3-498C916E9651} - C:\WINDOWS\system32\ljjjhed.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {3E4C7F6C-2099-4F53-ADAE-96834A224CE2} - C:\WINDOWS\system32\vtsqq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [b0b13c6e] rundll32.exe "C:\WINDOWS\system32\ocjrqpto.dll",b
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O20 - Winlogon Notify: ljjjhed - C:\WINDOWS\SYSTEM32\ljjjhed.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Schon mal dickes Dankeschön im voraus, mfg Alex

myrtille · 26.02.2008, 14:45

Tjaja, egal was man dir bisher erzählt hat: Vundo ist wohl noch da und versorgt dich fröhlich mit Werbepopups.

Zitat:

O2 - BHO: (no name) - {07C7156E-D651-4ACC-9AD3-498C916E9651} - C:\WINDOWS\system32\ljjjhed.dll
O2 - BHO: (no name) - {3E4C7F6C-2099-4F53-ADAE-96834A224CE2} - C:\WINDOWS\system32\vtsqq.dll
O4 - HKLM\..\Run: [b0b13c6e] rundll32.exe "C:\WINDOWS\system32\ocjrqpto.dll",b
O20 - Winlogon Notify: ljjjhed - C:\WINDOWS\SYSTEM32\ljjjhed.dll

Versuche zur Bereinigung mal Folgendes:

Lade dir vundofix.exe
Doppelklick VundoFix.exe
Klicke "Scan" --> Vundo button.
Nach dem Scannen, klicke den "Remove" Vundo button.
Man wird nun gefragt, ob man "remove" will --> klicke YES
Danach werden alle Desktop-Symbole verschwinden
Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
Poste das erstellte Logfile bitte hier

lg myrtille

halbeportion · 26.02.2008, 15:53

danke für die schnelle hilfe

hab alles wie beschrieben gemacht.
laut norton befindet sich der tracking cookie immernoch auf dem pc, allerdings surfe ich schon eine weile und es ist nichts passiert.
denke es ist jetzt weg.
hier der hjt log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:23, on 26.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\surium\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {3E4C7F6C-2099-4F53-ADAE-96834A224CE2} - C:\WINDOWS\system32\vtsqq.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {aef969a4-fdd4-16f9-dd24-b10275a2e1cd} - {dc1e2a57-201b-42dd-9f61-4ddf4a969fea} - C:\WINDOWS\system32\vedemucm.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [b0b13c6e] rundll32.exe "C:\WINDOWS\system32\lrimnqkj.dll",b
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 5371 bytes

grüße

myrtille · 26.02.2008, 16:25

Hi,
poste bitte das Logfile von Vundofix (C:\vundofix.txt), damit ich sehen kann welche Dateien gelöscht wurden.

Folgende Einträge kannst du mit HijackThis noch fixen:

Zitat:

O2 - BHO: (no name) - {3E4C7F6C-2099-4F53-ADAE-96834A224CE2} - C:\WINDOWS\system32\vtsqq.dll
O4 - HKLM\..\Run: [b0b13c6e] rundll32.exe "C:\WINDOWS\system32\ocjrqpto.dll",b
O2 - BHO: {aef969a4-fdd4-16f9-dd24-b10275a2e1cd} - {dc1e2a57-201b-42dd-9f61-4ddf4a969fea} - C:\WINDOWS\system32\vedemucm.dll

Erstelle bitte außerdem noch ein Log nach folgender Anleitung:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Die Tracking Cookies sind an sich ungefährlich.... Ich such dir gleich noch einen Link raus, indem das genauer erklärt wird.
Wenn du keine Cookies mehr annehmen möchtest, kannst du dies unter den Einstellungen deines Browsers einstellen.

lg myrtille

EDIT:
Der Link zum abstellen der Links: klickediklick

halbeportion · 26.02.2008, 17:22

achso sorry^^
hier:

VundoFix V6.7.9

Checking Java version...

Sun Java not detected
Scan started at 14:53:55 26.02.2008

Listing files found while scanning....

C:\WINDOWS\system32\bpgqnoad.dll
C:\WINDOWS\system32\chykfydn.dll
C:\WINDOWS\system32\jkqnmirl.ini
C:\WINDOWS\system32\ljjjhed.dll
C:\WINDOWS\system32\lrimnqkj.dll
C:\WINDOWS\system32\ocjrqpto.dll
C:\WINDOWS\system32\oucsmwxy.dll
C:\windows\system32\vtsqq.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\bpgqnoad.dll
C:\WINDOWS\system32\bpgqnoad.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\chykfydn.dll
C:\WINDOWS\system32\chykfydn.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkqnmirl.ini
C:\WINDOWS\system32\jkqnmirl.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ljjjhed.dll
C:\WINDOWS\system32\ljjjhed.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\lrimnqkj.dll
C:\WINDOWS\system32\lrimnqkj.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ocjrqpto.dll
C:\WINDOWS\system32\ocjrqpto.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\oucsmwxy.dll
C:\WINDOWS\system32\oucsmwxy.dll Has been deleted!

Attempting to delete C:\windows\system32\vtsqq.dll
C:\windows\system32\vtsqq.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ljjjhed.dll
C:\WINDOWS\system32\ljjjhed.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\lrimnqkj.dll
C:\WINDOWS\system32\lrimnqkj.dll Has been deleted!

Performing Repairs to the registry.
Done!

myrtille · 26.02.2008, 18:00

Hi,
da scheint was übrig geblieben zu sein.
Lass daher bitte noch folgendes Programm über deinen Rechner laufen:

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.[/QUOTE]

und poste bitte auch das Log von der filelist aus meinem letzten Post.

lg myrtille

halbeportion · 26.02.2008, 18:18

hier ist der kram, von der filelist, die anderen sachen kommen sofort

Verzeichnis von C:\

26.02.2008 15:37 1.610.612.736 pagefile.sys
26.02.2008 15:36 1.659 VundoFix.txt
21.02.2008 20:53 223 boot.ini
08.01.2008 22:28 48.725 az.log
03.01.2008 22:40 33.835 log.html

Verzeichnis von C:\WINDOWS\system32

26.02.2008 15:38 7.275 nvapps.xml
26.02.2008 15:33 176.810 qqstv.ini
26.02.2008 15:31 176.810 qqstv.ini2
26.02.2008 14:36 89.152 vedemucm.dll
26.02.2008 14:09 3.114 otpqrjco.ini
24.02.2008 20:13 2.634 orcylank.ini
24.02.2008 13:01 90.176 yxgmxlew.dll
24.02.2008 12:49 2.394 oemncycg.ini
23.02.2008 20:01 2.274 nsakhmfk.ini
23.02.2008 19:23 2.094 ndknjjia.ini
23.02.2008 19:23 2.206 wpa.dbl
21.02.2008 20:50 1.914 hyitbfad.ini
21.02.2008 20:44 199.604 qstwa.ini
21.02.2008 20:42 199.604 qstwa.ini2
21.02.2008 16:17 1.794 sislygnt.ini
20.02.2008 07:55 1.554 danuaafh.ini
18.02.2008 18:22 714 bxdfgije.ini
17.02.2008 19:14 474 ncopimtu.ini
17.02.2008 14:47 188 MsiExec.exe.log
16.02.2008 15:17 107.832 PnkBstrB.exe
16.02.2008 14:23 185.016 FNTCACHE.DAT
15.02.2008 14:13 90 spupdwxp.log
05.02.2008 00:09 18.214.008 MRT.exe
31.01.2008 23:13 57.344 QuickTime.qts
31.01.2008 23:13 90.112 QuickTimeVR.qtx
18.01.2008 16:30 5.686 jupdate-1.6.0_03-b05.log
11.01.2008 06:32 44.544 pngfilt.dll

Verzeichnis von C:\WINDOWS

26.02.2008 15:38 1.945.399 WindowsUpdate.log
26.02.2008 15:38 3.555 RTacDbg.txt
26.02.2008 15:38 0 0.log
26.02.2008 15:37 32.626 SchedLgU.Txt
26.02.2008 15:37 2.048 bootstat.dat
26.02.2008 13:36 1.027 setupapi.log
24.02.2008 20:40 116 NeroDigital.ini
21.02.2008 20:53 705 win.ini
21.02.2008 20:53 227 system.ini
18.02.2008 21:37 311 game.ini
16.02.2008 14:16 6.642 mgxoschk.ini
15.02.2008 15:11 147.456 mmproxy_40.mdb
15.02.2008 15:10 147.456 mmproxy_40_Backup.mdb
15.02.2008 14:07 1.046.702 setupapi.log.0.old
11.02.2008 19:34 249.856 Setup1.exe
11.02.2008 19:34 73.216 ST6UNST.EXE
11.02.2008 19:31 303 ST6UNST.002
11.02.2008 19:30 303 ST6UNST.001
18.01.2008 16:33 303 ST6UNST.000
18.01.2008 16:23 403 ODBC.INI
18.01.2008 16:22 59 vbaddin.ini

Verzeichnis von C:\WINDOWS\Prefetch

26.02.2008 17:25 10.974 FIND.EXE-0EC32F1E.pf
26.02.2008 17:25 10.868 CMD.EXE-087B4001.pf
26.02.2008 17:25 37.086 WLLOGINPROXY.EXE-33926225.pf
26.02.2008 17:25 15.056 WINRAR.EXE-3588DFE8.pf
26.02.2008 17:25 77.516 IEXPLORE.EXE-2CA9778D.pf
26.02.2008 17:20 19.276 NOTEPAD.EXE-336351A9.pf
26.02.2008 17:05 104.524 LOGON.SCR-151EFAEA.pf
26.02.2008 16:20 360.152 Layout.ini
26.02.2008 16:12 54.142 DFRGNTFS.EXE-269967DF.pf
26.02.2008 16:12 19.180 DEFRAG.EXE-273F131E.pf
26.02.2008 15:55 45.770 RUNDLL32.EXE-13D1F244.pf
26.02.2008 15:52 32.042 COH32.EXE-1453A4B6.pf
26.02.2008 15:51 73.110 SCANSTUB.EXE-35E6C49C.pf
26.02.2008 15:50 15.582 MAINSTUB.EXE-129003EC.pf
26.02.2008 15:48 58.774 WMIPRVSE.EXE-28F301A9.pf
26.02.2008 15:48 58.338 HIJACKTHIS202.EXE-340B7986.pf
26.02.2008 15:48 18.914 VERCLSID.EXE-3667BD89.pf
26.02.2008 15:39 54.230 WUAUCLT.EXE-399A8E72.pf
26.02.2008 15:39 32.440 WG111V2.EXE-1BBF507C.pf
26.02.2008 15:39 19.282 OSA9.EXE-07EC1F61.pf
26.02.2008 15:39 1.140.376 NTOSBOOT-B00DFAAD.pf
26.02.2008 15:34 13.624 REGEDIT.EXE-1B606482.pf
26.02.2008 14:52 56.168 MSIEXEC.EXE-2F8A8CAE.pf
26.02.2008 14:51 19.994 COMHOST.EXE-03A47319.pf
26.02.2008 14:11 79.520 USNSVC.EXE-1CEFA315.pf
26.02.2008 14:11 27.356 SVCHOST.EXE-3530F672.pf
26.02.2008 14:11 27.752 IMAPI.EXE-0BF740A4.pf
26.02.2008 13:52 62.424 RUNDLL32.EXE-37A7C420.pf
26.02.2008 13:51 58.918 LUALL.EXE-0DE1F33B.pf
26.02.2008 13:51 103.652 LUCOMS~1.EXE-02DB5950.pf
26.02.2008 13:51 108.536 LUCALLBACKPROXY.EXE-0B5F632D.pf
26.02.2008 13:50 14.238 SYMLCSVC.EXE-04DC2DC5.pf
26.02.2008 13:50 52.026 SSAUTORN.EXE-26BC4D68.pf
26.02.2008 13:50 15.960 SYMLCSV1.EXE-0EE21BE3.pf
26.02.2008 13:46 16.264 RUNDLL32.EXE-2A94BB85.pf
26.02.2008 13:39 67.992 IW3SP.EXE-1D9ADAA7.pf
25.02.2008 15:30 31.910 REGSVR32.EXE-25EEFE2F.pf
37 Datei(en) 3.013.966 Bytes
0 Verzeichnis(se), 82.883.637.248 Bytes frei

Verzeichnis von C:\WINDOWS\tasks

26.02.2008 15:37 6 SA.DAT
14.02.2008 14:57 276 AppleSoftwareUpdate.job
04.01.2008 16:45 282 Microsoft_Hardware_Launch_IType_exe.job
04.08.2004 13:00 65 desktop.ini
4 Datei(en) 629 Bytes
0 Verzeichnis(se), 82.883.633.152 Bytes frei

Verzeichnis von C:\DOKUME~1\Alex\LOKALE~1\Temp

26.02.2008 17:25 119.149 filelist.txt
26.02.2008 15:36 32.768 ~DFADB9.tmp
26.02.2008 14:53 32.768 ~DFBE54.tmp
3 Datei(en) 184.685 Bytes
0 Verzeichnis(se), 82.883.629.056 Bytes frei

Verzeichnis von C:\WINDOWS\temp

26.02.2008 15:48 11.968.512 JET69F4.tmp
26.02.2008 15:48 0 JET68DB.tmp
2 Datei(en) 11.968.512 Bytes
0 Verzeichnis(se), 82.883.629.056 Bytes frei

halbeportion · 26.02.2008, 18:44

Hier der ComboFix log:

ComboFix 08-02-25.3 - Alex 2008-02-26 18:24:31.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.622 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Alex\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\qstwa.ini
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\system32\vedemucm.dll
C:\WINDOWS\system32\yxgmxlew.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-26 bis 2008-02-26 ))))))))))))))))))))))))))))))
.

2008-02-26 18:28 . 2008-02-26 18:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-26 18:28 . 2008-02-26 18:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-26 14:53 . 2008-02-26 15:36 <DIR> d-------- C:\VundoFix Backups
2008-02-25 15:06 . 2008-02-25 15:06 <DIR> d-------- C:\Programme\CCleaner
2008-02-24 20:25 . 2008-02-26 14:09 3,114 ---hs---- C:\WINDOWS\system32\otpqrjco.ini
2008-02-24 13:01 . 2008-02-24 20:13 2,634 ---hs---- C:\WINDOWS\system32\orcylank.ini
2008-02-23 20:12 . 2008-02-24 12:49 2,394 ---hs---- C:\WINDOWS\system32\oemncycg.ini
2008-02-23 19:29 . 2008-02-23 20:01 2,274 ---hs---- C:\WINDOWS\system32\nsakhmfk.ini
2008-02-21 21:00 . 2008-02-23 19:23 2,094 ---hs---- C:\WINDOWS\system32\ndknjjia.ini
2008-02-21 16:19 . 2008-02-21 20:50 1,914 ---hs---- C:\WINDOWS\system32\hyitbfad.ini
2008-02-20 07:56 . 2008-02-21 16:17 1,794 ---hs---- C:\WINDOWS\system32\sislygnt.ini
2008-02-18 21:57 . 2008-02-18 21:57 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-18 21:40 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-02-18 21:40 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-02-18 21:40 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-02-18 21:40 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2008-02-18 21:40 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2008-02-18 21:37 . 2008-02-18 21:37 311 --a------ C:\WINDOWS\game.ini
2008-02-18 21:27 . 2008-02-18 21:27 <DIR> d-------- C:\Programme\Activision
2008-02-18 20:59 . 2008-02-18 20:59 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-02-18 19:18 . 2008-02-20 07:55 1,554 ---hs---- C:\WINDOWS\system32\danuaafh.ini
2008-02-18 18:23 . 2008-02-18 18:23 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-02-18 18:19 . 2008-02-18 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\DAEMON Tools
2008-02-17 19:20 . 2008-02-18 18:22 714 ---hs---- C:\WINDOWS\system32\bxdfgije.ini
2008-02-17 15:12 . 2008-02-17 15:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-02-17 15:12 . 2006-01-12 15:40 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-02-17 15:12 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-02-17 14:31 . 2008-02-17 14:31 <DIR> d-------- C:\Programme\Nero
2008-02-17 14:31 . 2008-02-17 14:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-02-17 14:31 . 2008-02-17 14:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-02-17 13:46 . 2008-02-17 19:14 474 ---hs---- C:\WINDOWS\system32\ncopimtu.ini
2008-02-16 14:16 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\system32\mp4sds32.ax
2008-02-16 14:15 . 2008-02-16 14:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-02-16 14:14 . 2008-02-16 14:15 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-02-16 14:14 . 2008-02-16 14:21 <DIR> d-------- C:\Programme\MAGIX
2008-02-16 14:14 . 2007-02-07 10:53 663,552 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-02-16 14:14 . 1998-10-15 16:28 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2008-02-16 14:14 . 2008-02-16 14:16 6,642 --a------ C:\WINDOWS\mgxoschk.ini
2008-02-15 15:49 . 2008-02-16 14:07 <DIR> d-------- C:\Programme\AVS4YOU
2008-02-15 15:07 . 2008-02-15 15:10 147,456 --a------ C:\WINDOWS\mmproxy_40_Backup.mdb
2008-02-15 15:07 . 2008-02-15 15:11 147,456 --a------ C:\WINDOWS\mmproxy_40.mdb
2008-02-15 15:01 . 2008-02-15 15:01 <DIR> d-------- C:\Programme\AIST
2008-02-15 14:02 . 2008-02-15 14:02 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-02-15 14:01 . 2008-02-15 14:01 <DIR> d-------- C:\WINDOWS\EHome
2008-02-15 14:01 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp
2008-02-15 12:26 . 2008-02-15 12:28 <DIR> d-------- C:\Programme\Valve
2008-02-14 15:08 . 2008-02-14 15:08 <DIR> d-------- C:\Programme\iPod
2008-02-14 15:07 . 2008-02-14 15:08 <DIR> d-------- C:\Programme\iTunes
2008-02-14 15:06 . 2008-02-14 15:07 <DIR> d-------- C:\Programme\QuickTime
2008-02-11 19:31 . 2008-02-11 19:31 303 --a------ C:\WINDOWS\ST6UNST.002
2008-02-11 19:30 . 2008-02-11 19:30 303 --a------ C:\WINDOWS\ST6UNST.001
2008-02-05 20:16 . 2008-02-24 20:40 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-05 20:09 . 2008-02-17 15:12 <DIR> d-------- C:\Programme\Ahead
2008-02-05 19:27 . 2008-02-05 19:28 <DIR> d-------- C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\DeepBurner
2008-02-05 19:26 . 2008-02-05 19:35 <DIR> d-------- C:\Programme\Astonsoft
2008-01-31 23:13 . 2008-01-31 23:13 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-01-31 23:13 . 2008-01-31 23:13 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-26 17:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-02-25 13:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-18 20:37 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-18 17:19 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-17 18:23 --------- d-----w C:\Programme\DivX
2008-02-16 14:17 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-16 13:07 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-02-15 11:26 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-11 18:34 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-02-11 18:34 249,856 ------w C:\WINDOWS\Setup1.exe
2008-02-10 18:01 --------- d-----w C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\Azureus
2008-01-19 08:37 --------- d-----w C:\Programme\Norton 360
2008-01-18 15:41 --------- d-----w C:\Programme\NCH Swift Sound
2008-01-18 15:30 --------- d-----w C:\Programme\Java
2008-01-18 15:18 --------- d-----w C:\Programme\microsoft frontpage
2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-13 18:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-13 18:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-06 12:45 --------- d-----w C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\BitTorrent
2008-01-04 15:31 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2007-12-30 17:41 --------- d-----w C:\Programme\IntelligentAdvisor
2007-12-29 16:47 --------- d-----w C:\Dokumente und Einstellungen\Alex\Anwendungsdaten\LimeWire
2007-12-13 18:09 972,072 ----a-w C:\WINDOWS\UNNeroMediaHome.exe
2007-12-04 08:59 972,072 ----a-w C:\WINDOWS\UNRecode.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Performance Center"="C:\Programme\Ascentive\Performance Center\APCMain.exe" [ ]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 17:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-20 14:09 4583424]
"amd_dc_opt"="C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 14:42 106496]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-04 14:18 267048]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen für Microsoft Works-Kalender.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Erinnerungen für Microsoft Works-Kalender.lnk
backup=C:\WINDOWS\pss\Erinnerungen für Microsoft Works-Kalender.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-02-14 00:09 486856 C:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-04 14:18 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"SharedAccess"=2 (0x2)
"PnkBstrA"=2 (0x2)
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2004-09-20 07:59]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2004-09-20 07:59]
R3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [2006-06-27 13:24]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S4 FreezeScreenSaver;FreezeScreenSaver;C:\WINDOWS\system32\FreezeScreenSaver.exe [2005-09-29 15:55]

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-02-14 13:57:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-04 15:45:37 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IType_exe.job"
- C:\Programme\Microsoft IntelliType Pro\itype.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-26 18:28:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-26 18:32:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-26 17:32:54
.
2008-02-18 20:57:25 --- E O F ---

und der neue log von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:43:51, on 26.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Alex\Eigene Dateien\surium\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 5015 bytes

gruß

myrtille · 26.02.2008, 18:50

Hi,
das sieht schon besser aus.

Du kannst noch folgende Dateien löschen, dann sollte es das eigentlich gewesen sein:

Zitat:

C:\WINDOWS\system32\otpqrjco.ini
C:\WINDOWS\system32\orcylank.ini
C:\WINDOWS\system32\oemncycg.ini
C:\WINDOWS\system32\nsakhmfk.ini
C:\WINDOWS\system32\ndknjjia.ini
C:\WINDOWS\system32\hyitbfad.ini
C:\WINDOWS\system32\sislygnt.ini
C:\WINDOWS\system32\danuaafh.ini
C:\WINDOWS\system32\bxdfgije.ini
C:\WINDOWS\system32\ncopimtu.ini

Um diese Dateien sehen zu können, musst du alle Dateien sichtbar machen.
Folge dazu bitte dieser Anleitung: Dateien sichtbar machen

lg myrtille

halbeportion · 26.02.2008, 19:15

super!!

vielen dank für die gute hilfe!!
hat alles super funktioniert

gruß alex

tracking cookie kann nicht entfernt werden

Plagegeister aller Art und deren Bekämpfung: tracking cookie kann nicht entfernt werden