Alisa,

lad dir bitte mal Spybot Search & Destroy runter, update es und mach einen Scan. Lass die gefundenen Dateien entfernen.

Und gib uns dann bescheid.

Zitat:

Zitat von Vista_User

Alisa,

lad dir bitte mal Spybot Search & Destroy runter, update es und mach einen Scan. Lass die gefundenen Dateien entfernen.

Und gib uns dann bescheid.

@vista_user
Und woher soll der TO das Spybot S&D herunterladen, hast du dafür auch einen Link?
Es ist schön das du deine Hilfe hier anbietest , du solltest aber auch dann zusehen das alles "Hand und Fuss" hat.


Ich empfehle hier bewusst mal nicht das Programm Spybot, sondern das hier:



Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

/Edit:


@Moin nochdigger

Hallo

@Alisamaus starte HijackThis mit der Option - Scan - und hake diesen Eintrag an

Zitat:

O2 - BHO: (no name) - {E62CA489-7AFF-44A2-AB0E-84BF790594CC} - C:\WINDOWS\system32\dx7vb32.dll

klicke nun auf - fix checked - und beende Hijackthis.
Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) und lösche, wenn noch vorhanden diese Datei

Zitat:

C:\WINDOWS\system32\dx7vb32.dll

dann leere den Mülleimer.
Starte dein System neu in den normalen Modus und berichte bitte.

MFG

Moin Sunny

Hallo, habe besagt Datei gefixt.Bin dann in den abgesicherten Modus und habe nach ihr gesucht. Sie war weg. Services.exe ist noch mit 35%-40 % am Arbeiten. Windows will nun Sicherheits-Updates machen. Es öffnen sich auch plötzlich irgendwelche Popups. Irgendwelche Anti-Virendienste bieten mir ständig ihre Dienste an, oder Erotikdienste. Die habe ich vorher nicht bemerkt. Waren nicht da, diese Popups. Alisa

Hallo

fahre bitte mit Sunnys Anleitung fort und poste anschließend das Log.

MFG

---------------------------
Fehler
---------------------------
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe



Fehler beim Ersetzen einer vorhandenen Datei:

DeleteFile schlug fehl; Code 5.

Zugriff verweigert.



Klicken Sie auf "Wiederholen" für einen weiteren Versuch, "Ignorieren", um diese Datei zu überspringen (nicht empfohlen), oder "Abbrechen", um die Installation abzubrechen.
---------------------------
Abbrechen Wiederholen Ignorieren
---------------------------


Das Programm will sich nicht installieren lassen. Was nun?

Hallo, also, ich habe das Programm Malwarebytes' Anti-Malware durchlaufen lassen. Obwohl die gewisse Datei nicht ersetzt werden konnte. Ich weiß nicht, ob der Scan seinen Sinn erfüllt hat. Was gefunden wurde, habe ich entfernt. Hier der Log des Scans:

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 542

Scan Art: Schnell Scan
Objekte gescannt: 41152
Scan Dauer: 11 minute(s), 17 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.

Alisa

Hier sind noch meine aktuellen Logs von HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:20, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Alisa

Running processes:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Moin Alisamaus,

Erstelle bitte ein Log mit silentrunners

-lade dir von hier Silentrunners
-lasse es dein System scannen, anschließend poste das Log

Anschließend lass bitte Combofix nach dieser Anleitung --> combofix
dein System untersuchen/bereinigen anschließend poste bitte ebenfalls das Log.


MFG

Hallo, tut mir schrecklich leid. Ich habe gestern eine Verwarnung bekommen, weil ich aktive Links gepostet habe. Das war nicht mit Absicht. Ich weiß, dass ich dadurch andere User in Gefahr bringe. Ich werde mich bemühen, in Zukunft besser Acht zu geben! Ich habe Silentrunners gedownloadet und einen Scan durchgeführt. Hier nun die Logs: (Ich hoffe, dass mir das von gestern nicht noch einmal passiert!)

"Silent Runners.vbs", revision 56, h**p://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" [file not found]
"(Default)" = (unknown data type)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"PowerManager" = "C:\Programme\Power Manager\PM.exe" [empty string]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Ulead Memory Card Detector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" ["Ulead Systems, Inc."]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe" ["America Online, Inc."]
"IPHSend" = "C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" ["America Online, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
"{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Ordner HP Share-to-Web"
-> {HKLM...CLSID} = "Ordner HP Share-to-Web"
\InProcServer32\(Default) = "C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

Gruß und Verzeihung

Alisa

Hallo

Zitat:

Ich hoffe, dass mir das von gestern nicht noch einmal passiert!

hört sich doof an, ich weiß, aber versuch einfach dran zu denken und benutze evtl. die "Vorschau" neben dem Antwort Button.

Dein Silentrunners Log ist leider unvollständig, versuch es bitte noch einmal.
Lass bitte auch Combofix laufen.

MFG

---------------------------
Error
---------------------------
Some installation files are corrupt.
Please download a fresh copy
---------------------------
OK
---------------------------
Diese Nachricht (oben) kommt bei mir, wenn ich ComboFix installieren will. Habe vorher, wie von der Seite empfohlen, CCleaner installiert und die Temporären Dateien gelöscht.

Das mit Silentrunner versuche ich gleich noch einmal.

Gruß Alisa

Hier nun noch die andere Textdatei, die ich vom Scan gefunden habe. (mit Silentrunner)

"Silent Runners.vbs", revision RED (R28) (Echo output), launched at: 15:00
Operating System: Windows XP SP2


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" [file not found]
"" = (data in unrecognized format!)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"PowerManager" = "C:\Programme\Power Manager\PM.exe" [empty string]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Ulead Memory Card Detector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" ["Ulead Systems, Inc."]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe" ["America Online, Inc."]
"IPHSend" = "C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" ["America Online, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
">{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default)" = "Microsoft Windows Media Player"
\StubPath = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [MS]
">{26923b43-4d38-484f-9b9e-de460746276c}\(Default)" = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "Adobe PDF Reader"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{7E853D72-626A-48EC-A868-BA8D5E23E045}\(Default) = (no title provided)
-> resolves to: {CLSID}\InprocServer32\(Default) = "(no data)" [file not found]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = "Windows Live Sign-in Helper"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = "Google Toolbar Notifier BHO"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"PostBootReminder" = "{7849596a-48ea-486e-8937-a2a3009f31a9}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"CDBurn" = "{fbeb8a05-beee-4442-804e-409d6c4515e9}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\webcheck.dll" [MS]
"SysTray" = "{35CEC8A3-2BE6-11D2-8773-92E220524153}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\stobject.dll" [MS]
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! "igfxcui\DLLName" = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! "WB\DLLName" = "C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll" ["Stardock"]
INFECTION WARNING! "WgaLogon\DLLName" = "WgaLogon.dll" [MS]


Startup items in "S. Preiáer" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
"hp psc 2000 Series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"officejet 6100" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe" ["Hewlett-Packard Co."]
"Ulead Kalendar Checker 4.0 SE" -> shortcut to: "C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe" ["Ulead Systems, Inc."]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
"FRU Task #Hewlett-Packard#hp psc 2100 series#1129716994" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 2100 series#1129716994"" [empty string]
"WebReg 20080310133601" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe /TaskName 20080310133601 /N "psc 2105" /M C8647A /S MY28JD60RS0F" ["Hewlett-Packard"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Arbeitsstationsdienst, lanmanworkstation, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\wkssvc.dll" [MS]}
Automatische Updates, wuauserv, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\wuauserv.dll" [MS]}
COM+-Ereignissystem, EventSystem, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\es.dll" [MS]}
DCOM-Server-Prozessstart, DcomLaunch, "C:\WINDOWS\system32\svchost -k DcomLaunch" {"C:\WINDOWS\system32\rpcss.dll" [MS]}
Designs, Themes, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\shsvcs.dll" [MS]}
DHCP-Client, Dhcp, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\dhcpcsvc.dll" [MS]}
DNS-Client, Dnscache, "C:\WINDOWS\system32\svchost.exe -k NetworkService" {"C:\WINDOWS\System32\dnsrslvr.dll" [MS]}
Druckwarteschlange, Spooler, "C:\WINDOWS\system32\spoolsv.exe" [MS]
Ereignisprotokoll, Eventlog, "C:\WINDOWS\system32\services.exe" [MS]
Fehlerberichterstattungsdienst, ERSvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\ersvc.dll" [MS]}
Gatewaydienst auf Anwendungsebene, ALG, "C:\WINDOWS\System32\alg.exe" [MS]
Gesch�tzter Speicher, ProtectedStorage, "C:\WINDOWS\system32\lsass.exe" [MS]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
Hilfe und Support, helpsvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll" [MS]}
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
IPSEC-Dienste, PolicyAgent, "C:\WINDOWS\system32\lsass.exe" [MS]
Kompatibilit„t f�r schnelle Benutzerumschaltung, FastUserSwitchingCompatibility, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\shsvcs.dll" [MS]}
Konfigurationsfreie drahtlose Verbindung, WZCSVC, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\wzcsvc.dll" [MS]}
Kryptografiedienste, CryptSvc, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\cryptsvc.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Netzwerkverbindungen, Netman, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\netman.dll" [MS]}
NLA (Network Location Awareness), Nla, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mswsock.dll" [MS]}
RAS-Verbindungsverwaltung, RasMan, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\rasmans.dll" [MS]}
Remoteprozeduraufruf (RPC), RpcSs, "C:\WINDOWS\system32\svchost -k rpcss" {"C:\WINDOWS\system32\rpcss.dll" [MS]}
Sekund„re Anmeldung, seclogon, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\seclogon.dll" [MS]}
Server, lanmanserver, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\srvsvc.dll" [MS]}
Shellhardwareerkennung, ShellHWDetection, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\shsvcs.dll" [MS]}
Sicherheitscenter, wscsvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\wscsvc.dll" [MS]}
Sicherheitskontenverwaltung, SamSs, "C:\WINDOWS\system32\lsass.exe" [MS]
SSDP-Suchdienst, SSDPSRV, "C:\WINDOWS\system32\svchost.exe -k LocalService" {"C:\WINDOWS\System32\ssdpsrv.dll" [MS]}
Systemereignisbenachrichtigung, SENS, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\sens.dll" [MS]}
Systemwiederherstellungsdienst, srservice, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\srsvc.dll" [MS]}
Taskplaner, Schedule, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\schedsvc.dll" [MS]}
TCP/IP-NetBIOS-Hilfsprogramm, LmHosts, "C:\WINDOWS\system32\svchost.exe -k LocalService" {"C:\WINDOWS\System32\lmhsvc.dll" [MS]}
Telefonie, TapiSrv, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\tapisrv.dll" [MS]}
Terminaldienste, TermService, "C:\WINDOWS\System32\svchost -k DComLaunch" {"C:\WINDOWS\System32\termsrv.dll" [MS]}
Webclient, WebClient, "C:\WINDOWS\system32\svchost.exe -k LocalService" {"C:\WINDOWS\System32\webclnt.dll" [MS]}
Windows Audio, AudioSrv, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\audiosrv.dll" [MS]}
Windows-Bilderfassung (WIA), stisvc, "C:\WINDOWS\system32\svchost.exe -k imgsvc" {"C:\WINDOWS\system32\wiaservc.dll" [MS]}
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung, SharedAccess, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\ipnathlp.dll" [MS]}
Windows-Verwaltungsinstrumentation, winmgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\wbem\WMIsvc.dll" [MS]}
Windows-Zeitgeber, W32Time, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\w32time.dll" [MS]}
šberwachung verteilter Verkn�pfungen (Client), TrkWks, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\trkwks.dll" [MS]}

Alisa

Hallo

lade dir Combofix mal von hier
File-Upload.net - Ihr kostenloser File Hoster!
(diese Datei sollte i.O. sein)

Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) entpacke die C-fix.zip auf deinen Desktop und führe dort Combofix aus (ich hoffe das funktioniert).
Zurück im normalen Modus poste bitte das Log.

MFG

Hallo, Combofix habe ich noch einmal herunter geladen und habe es zum Laufen gebracht. Ich habe also den Scan durchgeführt. Hier nun das Ergebnis:

ComboFix 08-03-25.4 - S. Preißer 2008-03-26 19:59:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.151 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\S. Preißer\Desktop\ComboFix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg.dat
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg.exe
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg_nav.dat
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 15:36 . 2008-03-26 15:36 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 03:28 . 2008-03-26 04:55 <DIR> d-------- C:\f5f6f0cdf51b56b013486d63689c
2008-03-25 21:24 . 2008-03-26 04:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 21:24 . 2008-03-25 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\Malwarebytes
2008-03-25 21:24 . 2008-03-25 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-24 19:24 . 2005-06-03 19:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-24 19:24 . 2005-06-03 20:15 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-24 19:24 . 2005-06-03 20:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-24 19:24 . 2008-03-26 04:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-24 19:24 . 2005-09-03 15:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-24 19:24 . 2005-06-03 19:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-24 19:24 . 2005-06-03 20:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-24 19:24 . 2005-06-03 19:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-23 19:37 . 2008-03-23 19:38 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-23 19:37 . 2008-03-23 19:51 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-23 19:37 . 2008-03-23 19:51 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-23 19:37 . 2008-03-23 19:51 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-22 17:17 . 2008-03-22 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\Leadertech
2008-03-10 19:53 . 2008-03-10 19:53 <DIR> d-------- C:\Programme\7-Zip
2008-03-09 16:57 . 2008-03-09 16:57 6,742,528 --a------ C:\wz111gev.msi
2008-03-09 16:13 . 2008-03-13 23:30 78 --ah----- C:\WINDOWS\erty.dat
2008-03-09 16:11 . 2008-03-09 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\S7302~1~PRE\LOKALE~1
2008-03-07 17:03 . 2008-03-07 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iAR GmbH
2008-03-07 16:28 . 2008-03-07 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-07 16:27 . 2008-03-07 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX
2008-03-07 16:27 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-01 18:14 . 2008-03-01 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-02-29 20:00 . 2008-03-26 18:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-29 20:00 . 2008-02-29 20:00 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-28 22:35 . 2008-03-13 23:25 <DIR> d-------- C:\Programme\DivX
2008-02-28 22:35 . 2008-02-21 03:05 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-02-28 22:35 . 2008-02-21 03:05 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-02-28 22:35 . 2008-02-21 03:05 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-02-28 22:27 . 2008-02-28 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Newsoft
2008-02-28 22:27 . 1998-06-17 00:00 385,100 --a------ C:\WINDOWS\system32\MSVCRTD.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 12:50 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\MAGIX
2008-03-26 04:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-25 19:43 59,538 ----a-w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\wklnhst.dat
2008-03-24 16:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-24 04:34 --------- d-----w C:\Programme\Java
2008-03-23 21:38 --------- d-----w C:\Programme\WordToPDF
2008-03-22 16:15 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\acccore
2008-03-13 23:55 --------- d-----w C:\Programme\XMedia Recode
2008-03-13 22:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-13 22:37 --------- d-----w C:\Programme\EuroKass
2008-03-13 22:24 --------- d-----w C:\Programme\Blox
2008-03-13 22:21 --------- d-----w C:\Programme\QVWIN
2008-03-13 22:14 --------- d-----w C:\Programme\MD 42361 Manager
2008-03-10 12:50 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\WordToPDF
2008-03-09 17:45 157,592 ----a-w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-09 15:12 --------- d-----w C:\Programme\Ulead Systems
2008-02-28 21:13 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-22 21:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-09 16:38 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\ICQ
2008-02-09 16:37 --------- d-----w C:\Programme\ICQ6
2008-02-09 16:35 --------- d-----w C:\Programme\ICQToolbar
2006-07-05 17:12 55,447 ----a-w C:\Dokumente und Einstellungen\S. Preißer\.cxpg61spc.dat
2006-07-05 17:12 55,447 ----a-w C:\Dokumente und Einstellungen\S. Preißer\.cxpg61spc.dat
2006-03-02 12:29 26,118 ----a-w C:\Dokumente und Einstellungen\S. Preißer\TB2Categories000.dat
2006-03-02 12:29 26,118 ----a-w C:\Dokumente und Einstellungen\S. Preißer\TB2Categories000.dat
2005-11-27 11:51 16 ---ha-w C:\Programme\mxfilerelatedcache.mxc2
2005-09-04 16:45 0 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-01-20 19:04 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 12:38 88361 C:\WINDOWS\AGRSMMSG.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-08 09:36 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-08 09:32 126976]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-12-05 13:22 159744]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-03-30 14:07 159744]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"Ulead Memory Card Detector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-12 08:01 40960]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 03:19 69632]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 17:22 249896]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe" [2006-05-23 12:45 50760]
"IPHSend"="C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" [2006-02-17 17:59 124520]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 15:55 267064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-12-27 22:29:20 124400]
hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2002-06-11 09:31:50 323646]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
officejet 6100.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe [2002-06-11 09:32:22 147456]
Ulead Kalendar Checker 4.0 SE.lnk - C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2005-10-14 14:20:39 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll 2001-12-20 22:34 24576 C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-14 17:31]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-14 17:31]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-16 21:37]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 18:22]

*Newly Created Service* - WINIO
.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 21:52:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2006-02-02 13:02:47 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1129716994.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-03-10 12:36:02 C:\WINDOWS\Tasks\WebReg 20080310133601.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeA/TaskName 20080310133601 /N
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-03-26 20:04:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 20:06:50
ComboFix-quarantined-files.txt 2008-03-26 19:06:35
.
2008-03-26 13:06:48 --- E O F ---

Ich hoffe, dass es ein gutes Ergebnis ist.

Alisa