Trojan.Win32.Agent.ixj

marelro · 27.03.2008, 20:23

Hallo,

Meine ZoneAlarm Internet Security Suite Version 7.1 hat mir soeben den o.g. Virus gemeldet.
Leider meldet sie mir unter "Information: Dieses Element konnte nicht entfernt werden und ist möglicherweise immer noch aktiv oder infiziert. "

Ich habe einen AldiPC mit Windows Vista Home and Student (noch kein SP1 installiert, hatte es vor ein paar Tagen versucht, aber die Webseite antwortete nicht, drum hab' ichs verschoben und bedaure es jetzt!)

Bei Google finde ich nur 2 Seiten mit diesem Virennamen, und die meisten auf Chinesisch! (Apropos Chinesisch: Mein Sohn hat mir vorhin gestanden, dass er übers Internet Fußball geguckt hat mit einem Programm namens Sopcast!)

Ich habe die Anleitung für HJT gelesen und das Programm geholt. Es beginnt auch, hat oben einen blauen Balken D1-Hosts file redirection...

Da stehen 7 Zeilen, die erste davon z. B.
Kästchen R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.aldi.com
usw.

Aber dann kommt eine Meldung:

For some reasons your system denied write access to the Hosts file. If any hijacked domains are in this file, HJT may NOT be able to fix this.

If that happens, you need to edit the file yourself. To do this, click Start, Run and type:

notepad C: usw.

and press Enter. Find the lines Hijack This reports and delete them. Save the file as "hosts". (with quotes), and reboot.

Leider verstehe ich die englische Anleitung nicht.

Kann mir jemand helfen? Bitte, und falls wir getrennt werden, weil der PC gar nicht mehr gehen sollte, möchte ich mich schon mal vorher für sämtliche Hilfe-Versuche inständig bedanken!

Martina

27.03.2008, 21:11

hi

also da steht in etwa das der zugriff auf host files verweigert wird und ne anleitung wie du einträge manuell "fixen" kannst.

aber bitte gib einmal den genauen pfad des gefundenen trojaners an

dann poste ein HijackThis logfile (so weit es geht)

lade dir ccleaner herunter und lass es einmal dein system säuber danach auch registry einträge reparieren

bitte lade dir auch combofix und mach was in der anleitung dazu steht

(poste das logfile)

marelro · 27.03.2008, 21:18

Hallo virus, (komischer Humor!!)

Sorry, habe erst jetzt gesehen, wo ich den Pfad des Virus finden kann (man hat ja nicht alle Tage eine Virusmeldung, meine letzte liegt 2 Jahre zurück):

C\Windows\Temp\TMP0000007D252358$5808B4D1.

Ich versuche jetzt also noch, den HJT trotz der Meldung weiterlaufen zu lassen und mir auch die anderen Sachen zu besorgen.
Danke schon mal, ich bin heilfroh, dass ich nicht mehr mit diesem exotischen Ding allein bin!

M.

Hab' den HJT laufen lassen, aber es kam zwischendrin eine Fehlermeldung (modMaincheckother1item... Path/File access error) und dass ich den Fehler an merijn@spywarinfo melden soll (hab' einen Screenshot gemacht für spätere Erledigung.)
Dann lief es weiter und das hier ist das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 21:19:45, on 27.03.2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\aol\1202655797\ee\aolsoftware.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Common Files\AOL\Loader\aolload.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\AOL 9.0 VR\waol.exe
C:\Program Files\AOL 9.0 VR\shellmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Common Files\AOL\Topspeed\3.0\aoltpsd3.exe
C:\Users\MUSTERFRAU\AppData\Local\Temp\Temp1_hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1202655797\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VR\AOL.EXE" -b
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: ThinkRightNow.lnk = C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

27.03.2008, 22:13

hi

also bitte lass folgende datein hier oder hier online scanne (report unbedingt posten)

:

O4 - Startup: ThinkRightNow.lnk = C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe

bitte lade dir auch ccleaner herunter und lass ihn dein system säubern und auch registry

ps. dein logfile sieht nicht allzu schlimm aus

marelro · 27.03.2008, 22:53

Hallo,

schön, dass noch was geht. Ich fühle mich unwohl, dass ich die Firewall für das Combofix deaktivieren musste.
(cccleaner ist auch vorher durch).
Jetzt ist aber mein Desktop schwarz im Hintergrund. Da nur der log-editor noch offen ist, werde ich jetzt einfach versuchen, den PC neu zu starten.

Hier schnell das Logfile (und falls gleich nichts mehr geht, geh ich jetzt erst mal hundmüde und entnervt ins Bett, danke nochmal fürs Antworten):

ComboFix 08-03-26.3 - MUSTERFRAU 2008-03-27 22:42:10.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1196 [GMT 1:00]
ausgeführt von:: C:\Users\MUSTERFRAU\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\lsprst7.dll
C:\Windows\system32\nsprs.dll
C:\Windows\system32\serauth1.dll
C:\Windows\system32\serauth2.dll
C:\Windows\system32\ssprs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 22:15 . 2008-03-27 22:15 <DIR> d-------- C:\Program Files\CCleaner
2008-03-23 21:37 . 2008-03-23 21:37 <DIR> d-------- C:\Users\MUSTERFRAU\AppData\Roaming\Ulead Systems
2008-03-22 16:28 . 2008-03-22 16:29 <DIR> d-------- C:\Users\MUSTERFRAU\AppData\Roaming\TVU networks
2008-03-22 16:28 . 2008-03-22 16:28 <DIR> d-------- C:\Users\All Users\TVU networks
2008-03-22 16:28 . 2008-03-22 16:28 <DIR> d-------- C:\ProgramData\TVU networks
2008-03-22 16:28 . 2008-03-22 16:28 <DIR> d-------- C:\Program Files\TVUPlayer
2008-03-19 15:12 . 2008-03-19 15:20 <DIR> d-------- C:\Users\MUSTERFRAU\AppData\Roaming\FileZilla
2008-03-19 15:10 . 2008-03-19 15:10 <DIR> d-------- C:\Program Files\FileZilla FTP Client
2008-03-12 12:08 . 2007-12-16 23:50 1,060,920 --a------ C:\Windows\System32\drivers\ntfs.sys
2008-03-12 12:08 . 2007-12-16 10:56 41,984 --a------ C:\Windows\System32\drivers\monitor.sys
2008-03-11 21:57 . 2008-03-14 09:37 14 --a------ C:\Windows\System32\ssprs.tgz
2008-03-11 21:41 . 2006-05-10 11:15 1,929,216 --a------ C:\Windows\System32\cdintf250.dll
2008-03-11 21:41 . 2008-03-11 21:41 1,024 --a------ C:\Windows\System32\clauth2.dll
2008-03-11 21:41 . 2008-03-11 21:41 1,024 --a------ C:\Windows\System32\clauth1.dll
2008-03-11 21:41 . 2008-03-11 21:41 0 --a------ C:\Windows\System32\nsprs.tgz
2008-03-11 21:33 . 2008-03-11 21:33 1,025 --a------ C:\Windows\System32\sysprs7.tgz
2008-03-11 21:33 . 2008-03-11 21:33 1,025 --a------ C:\Windows\System32\sysprs7.dll
2008-03-11 21:33 . 2008-03-14 09:37 219 --a------ C:\Windows\System32\lsprst7.tgz
2008-03-11 21:33 . 2008-03-14 10:06 16 ---h----- C:\Windows\System32\servdat.slm
2008-03-10 11:54 . 2008-03-10 11:54 <DIR> d-------- C:\Users\MUSTERFRAU\AppData\Roaming\Printer Info Cache
2008-03-10 11:54 . 2008-03-14 09:20 <DIR> d-------- C:\Users\MUSTERFRAU\AppData\Roaming\Image Zone Express
2008-03-05 21:17 . 2008-03-05 21:19 <DIR> d-------- C:\Users\All Users\Lexware
2008-03-05 21:17 . 2008-03-05 21:24 <DIR> d-------- C:\Users\All Users\BTrieve
2008-03-05 21:17 . 2008-03-05 21:19 <DIR> d-------- C:\ProgramData\Lexware
2008-03-05 21:17 . 2008-03-05 21:24 <DIR> d-------- C:\ProgramData\BTrieve
2008-03-05 21:17 . 2008-03-05 21:17 <DIR> d-------- C:\Program Files\Lexware
2008-03-05 21:16 . 2008-03-05 21:16 <DIR> d-------- C:\Users\MUSTERFRAU\AppData\Roaming\InstallShield
2008-03-05 21:16 . 2008-03-05 21:16 <DIR> d-------- C:\Users\All Users\Haufe
2008-03-05 21:16 . 2008-03-05 21:16 <DIR> d-------- C:\ProgramData\Haufe
2008-03-05 21:16 . 2008-03-05 21:16 <DIR> d-------- C:\Program Files\Haufe
2008-03-05 21:14 . 2008-03-05 21:23 <DIR> d-------- C:\Program Files\Common Files\Lexware
2008-02-27 12:01 . 2008-02-27 12:01 <DIR> d-------- C:\Program Files\GPower 3.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 21:40 20,565,024 --sha-w C:\Windows\system32\drivers\fidbox.dat
2008-03-27 05:45 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\OpenOffice.org2
2008-03-27 05:44 350,494 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-03-26 22:17 272,060 --sha-w C:\Windows\system32\drivers\fidbox.idx
2008-03-26 05:43 4,084,948 ----a-w C:\Windows\Internet Logs\tvDebug.zip
2008-03-24 14:30 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\phonostar-Player
2008-03-24 11:31 512 ----a-w C:\ScanSectorLog.dat
2008-03-19 22:03 --------- d-----w C:\Program Files\No23 Recorder
2008-03-19 05:59 3,753,984 ----a-w C:\Windows\Internet Logs\xDB7E62.tmp
2008-03-13 06:11 --------- d-----w C:\Program Files\Windows Mail
2008-03-05 22:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-05 20:16 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-03-04 21:10 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\Azureus
2008-02-23 21:59 --------- d-----w C:\ProgramData\Microsoft Help
2008-02-23 12:05 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\Nokia
2008-02-23 11:59 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\PC Suite
2008-02-23 11:59 --------- d-----w C:\ProgramData\PC Suite
2008-02-23 11:46 --------- d-----w C:\Program Files\DIFX
2008-02-23 11:44 --------- d-----w C:\Program Files\Nokia
2008-02-23 11:44 --------- d-----w C:\Program Files\Common Files\PCSuite
2008-02-23 11:44 --------- d-----w C:\Program Files\Common Files\Nokia
2008-02-23 11:43 --------- d-----w C:\Program Files\PC Connectivity Solution
2008-02-23 11:40 --------- d-----w C:\ProgramData\Installations
2008-02-23 09:31 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\WEB.DE
2008-02-23 09:25 --------- d-----w C:\ProgramData\WEB.DE
2008-02-23 09:25 --------- d-----w C:\Program Files\WEB.DE
2008-02-23 06:48 --------- d-----w C:\Program Files\MSECache
2008-02-23 06:45 --------- d-----w C:\ProgramData\Office Genuine Advantage
2008-02-23 06:27 --------- d-----w C:\Program Files\Microsoft Works
2008-02-23 06:26 --------- d-----w C:\Program Files\Microsoft.NET
2008-02-19 21:36 --------- d-----w C:\Program Files\Moss Bay Software
2008-02-16 15:47 --------- d-----w C:\Program Files\Common Files\Adobe
2008-02-13 13:44 3,069,952 ----a-w C:\Windows\Internet Logs\xDB6ED8.tmp
2008-02-13 07:16 943,800 ----a-w C:\Windows\System32\winload.exe
2008-02-13 07:16 905,400 ----a-w C:\Windows\System32\winresume.exe
2008-02-13 07:16 595,456 ----a-w C:\Windows\System32\schedsvc.dll
2008-02-13 07:16 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
2008-02-13 07:16 39,424 ----a-w C:\Windows\System32\lodctr.exe
2008-02-13 07:16 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2008-02-13 07:16 32,256 ----a-w C:\Windows\System32\unlodctr.exe
2008-02-13 07:16 23,552 ----a-w C:\Windows\System32\nshhttp.dll
2008-02-13 07:16 17,408 ----a-w C:\Windows\System32\prflbmsg.dll
2008-02-13 07:16 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
2008-02-13 07:16 115,200 ----a-w C:\Windows\System32\loadperf.dll
2008-02-13 07:15 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-13 07:15 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-13 07:15 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-13 07:15 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-13 07:15 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-13 07:15 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-13 07:15 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-13 07:15 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-13 07:15 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-13 07:15 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-13 07:15 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-13 07:15 110,136 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-13 07:14 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-13 07:14 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-13 07:14 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-13 07:14 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-13 07:14 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-13 07:14 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-13 07:13 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-13 07:13 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-13 07:13 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-13 07:13 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-12 22:32 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\CyberLink
2008-02-12 22:32 --------- d-----w C:\ProgramData\CyberLink
2008-02-11 14:42 --------- d-----w C:\Users\MUSTERFRAU\AppData\Roaming\vlc
2008-02-11 14:26 --------- d-----w C:\Program Files\VideoLAN
2008-02-11 12:00 177,152 ----a-w C:\Windows\Internet Logs\xDB8268.tmp
2008-02-11 08:57 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-02-11 08:55 --------- d-----w C:\Program Files\readmes
2008-02-11 08:55 --------- d-----w C:\Program Files\licenses
2008-02-11 07:39 --------- d-----w C:\Program Files\Bonjour
2008-02-11 07:34 --------- d-----w C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
2008-02-11 07:34 --------- d-----w C:\Program Files\QuickTime
2008-02-11 07:34 --------- d-----w C:\Program Files\phonostar
2008-02-11 07:34 --------- d-----w C:\Program Files\iTunes
2008-02-11 07:33 --------- d---a-w C:\Program Files\GoogleEULA
2008-02-11 07:33 --------- d-----w C:\Program Files\HomeCinema
2008-02-11 07:33 --------- d-----w C:\Program Files\Google
2008-02-11 07:33 --------- d-----w C:\Program Files\Common Files\Buhl Data Service
2008-02-11 07:33 --------- d-----w C:\Program Files\Common Files\aolshare
2008-02-11 07:33 --------- d-----w C:\Program Files\Common Files\aol
2008-02-11 07:33 --------- d-----w C:\Program Files\Azureus
2008-02-11 07:33 --------- d-----w C:\Program Files\Apple Software Update
2008-02-11 07:33 --------- d-----w C:\Program Files\AOL 9.0 VR
2008-02-11 07:33 --------- d-----w C:\Program Files\Aldi Sued Fotoservice
2008-02-11 07:33 --------- d-----w C:\Program Files\Activation Assistant for the 2007 Microsoft Office suites
2008-02-11 07:30 --------- d-----w C:\ProgramData\AOL
2008-02-11 07:29 --------- d-----w C:\ProgramData\InstallShield
2008-02-11 07:29 --------- d-----w C:\ProgramData\Apple Computer
2008-02-11 07:29 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-11 07:29 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-02-11 07:29 --------- d-----w C:\Program Files\Windows Journal
2008-02-11 07:29 --------- d-----w C:\Program Files\Windows Defender
2008-02-11 07:29 --------- d-----w C:\Program Files\Windows Collaboration
2008-02-11 07:29 --------- d-----w C:\Program Files\Windows Calendar
2008-02-11 07:29 --------- d-----w C:\Program Files\Microsoft Games
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 14:57 1232896]
"PhonostarTimer"="C:\Program Files\phonostar\ps_timer.exe" [2007-12-05 16:14 126976]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440]
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.exe" [2007-03-15 17:38 1146880]
"AOL Fast Start"="C:\Program Files\AOL 9.0 VR\AOL.exe" [2007-06-21 15:11 50480]
"PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 10:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-14 23:05 1006264]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"TVBroadcast"="C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe" [2007-08-08 00:12 797696]
"RtHDVCpl"="RtHDVCpl.exe" [2007-11-14 15:50 4706304 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-10-11 11:04 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-12-14 03:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-12-14 03:28 8530464]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-12-14 03:28 81920]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-02-10 14:33 220160]
"toolbar_eula_launcher"="C:\Program Files\GoogleEULA\EULALauncher.exe" [2007-02-09 15:54 16896]
"HostManager"="C:\Program Files\Common Files\AOL\1202655797\ee\AOLSoftware.exe" [2006-09-26 01:52 50736]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52 49152]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-28 05:17 959976]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 17:35 1294336]

C:\Users\MUSTERFRAU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 21:57:56 393216]
ThinkRightNow.lnk - C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe [2001-07-17 07:25:56 217192]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0BE04582-A3D0-4724-B1D1-18F701998C19}"= C:\Program Files\HomeCinema\MakeDisc\MakeDisc.exe:CyberLink MakeDisc
"{42C4C4AB-ED99-4011-B9A9-0F6C60630F1C}"= C:\Program Files\HomeCinema\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{F1101A87-0E34-472D-8164-19D1ADF188E2}"= C:\Program Files\HomeCinema\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"{E4674A07-22D2-40AE-83A2-1DB183F831C2}"= UDP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Optimized Dial-In
"{F7022B47-4F12-41A3-BEBE-5480F1FB23F0}"= TCP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Optimized Dial-In
"{E58C8634-248D-4171-8986-6D5021D886A6}"= UDP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:AOL Optimized Dial-In
"{7573DC46-2966-40BD-B046-F6F32800BDB1}"= TCP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:AOL Optimized Dial-In
"{F260F43C-AA55-40B1-A6A6-C52BB31AD498}"= UDP:C:\Program Files\Common Files\aol\1202655797\ee\aolsoftware.exe:AOL Shared Components
"{652A8D0E-5938-42F0-A587-1A6823E7B03F}"= TCP:C:\Program Files\Common Files\aol\1202655797\ee\aolsoftware.exe:AOL Shared Components
"{7958B74F-08C1-4F5B-8E5C-008D3B268E72}"= UDP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL
"{4390B6F4-C3CD-46C0-9197-5C8FED7AECF2}"= TCP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL
"{EDBFB3CE-92AB-48BB-9382-8C316676A6C1}"= UDP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{459F1139-C2E6-4C7B-B5A6-398C3B02412C}"= TCP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{120FFD42-CDB3-4C36-83E7-E7A575A57D41}"= UDP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{AE9A42AA-5FE7-4A5C-923F-2A932D17B304}"= TCP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{7B5F00A3-32A6-445C-8F25-6ACE4EDDAF46}"= UDP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{D0B2CDE3-CFF5-488D-A89C-FE0C98D186FE}"= TCP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{D1472261-41F7-4355-86BB-2FE9C6667AD9}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{AF0915E3-209D-4C57-AFF4-5A59DB1BCD5C}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{5DBA4B33-46BA-411D-A4C3-24D76B3FF388}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{6BF849F4-B8B8-4CD4-8E89-3B78CE03F217}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{9A791E28-07C0-4649-81A5-AEE2D1B07427}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R1 uiwbrdr;uiwbrdr;C:\Windows\system32\DRIVERS\uiwbrdr.sys [2007-03-15 17:37]
R2 GnabService;GnabService;c:\program files\common files\gnab\service\servicecontroller.exe [2007-04-13 18:14]
R2 srvcPVR;Sceneo PVR Service;C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [2007-08-16 10:31]
R3 3xHybrid;Philips SAA713x PCI Card;C:\Windows\system32\DRIVERS\3xHybrid.sys [2008-01-08 08:17]
R3 netr28u;RT2870 USB Wireless LAN Card Driver for Vista;C:\Windows\system32\DRIVERS\netr28u.sys [2007-09-21 10:38]
R3 nvsmu;nvsmu;C:\Windows\system32\DRIVERS\nvsmu.sys [2007-07-07 14:13]
R3 X10Hid;X10 Hid Device;C:\Windows\system32\Drivers\x10hid.sys [2006-11-17 10:31]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 15:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9ed628f-d7dc-11dc-8771-001d9260dfa0}]
\shell\AutoRun\command - .\MigWiz\migsetup.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-03-27 22:45:01
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-27 22:45:46
ComboFix-quarantined-files.txt 2008-03-27 21:45:43
7 Verzeichnis(se), 337,846,284,288 Bytes frei
15 Verzeichnis(se), 337,816,817,664 Bytes frei
.
2008-03-26 05:54:58 --- E O F ---

PS: Thinkrightnow ist eine Kauf-Software, die ich für OK halte, aber ich werde sie natürlich scannen lassen.

marelro · 27.03.2008, 23:28

Soo,

immerhin ist mein PC wie gewohnt angesprungen, was ich schon mit Freudenschreien begleitet habe.

Die Firewall ist auch wieder aktiv und ich hab' die Virensuche erneut angestellt (läuft noch).

Habe Think Right Now online scannen lassen und wie von mir erwartet, wird es nirgends als Gefahr erkannt (ich habe es auch schon ein paar Wochen), siehe unten.

Leider muss ich jetzt unbedingt ins Bett, da ich morgen früh raus muss, ich melde mich morgen dann in jedem Fall nochmal! (Lasse den PC jetzt von meinem Sohn "bewachen", der Ferien hat). So eine Virengeschichte strapaziert mich immer bis aufs Äußerste, weil ich ständig Dinge tun muss, von denen ich keine Ahnung habe und drum 1000 Seiten Anleitungen studiere und dann noch mehr Bauchschmerzen bekomme und ich komme mir laufend vor wie in Todesgefahr...

Dieses Forum ist mit ABSTAND eines der besten und nützlichsten im deutschen Internet! Danke an alle.
Gute Nacht jetzt erst mal.

Datei ThinkRightNow.exe empfangen 2008.03.27 23:05:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 11.
Geschätzte Startzeit is zwischen 73 und 105 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Anm: Marelro: Die von mir kursiv gesetzten Sätze wurden mir im Browser übrigens nicht angezeigt

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.27 -
AntiVir 7.6.0.75 2008.03.27 -
Authentium 4.93.8 2008.03.27 -
Avast 4.7.1098.0 2008.03.27 -
AVG 7.5.0.516 2008.03.27 -
BitDefender 7.2 2008.03.27 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.27 -
DrWeb 4.44.0.09170 2008.03.27 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5650 2008.03.27 -
Ewido 4.0 2008.03.27 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.27 -
FileAdvisor 1 2008.03.27 -
Fortinet 3.14.0.0 2008.03.27 -
Ikarus T3.1.1.20 2008.03.27 -
Kaspersky 7.0.0.125 2008.03.27 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.27 -
NOD32v2 2979 2008.03.27 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.26 -
Prevx1 V2 2008.03.27 -
Rising 20.37.32.00 2008.03.27 -
Sophos 4.27.0 2008.03.27 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.27 -
TheHacker 6.2.92.256 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.27 -
Webwasher-Gateway 6.6.2 2008.03.27 -
weitere Informationen
File size: 217192 bytes
MD5: 4e77756f0fc031ac0c6eb3730e956eab
SHA1: f267ca1883ca61023bf3d28456ea0fec19d127cc
PEiD: Armadillo v1.71

marelro · 28.03.2008, 13:19

Juhu!

Wie versprochen melde ich mich noch einmal. Die Internet Security Suite meldet keinen Virus mehr!

Also gehe ich jetzt davon aus, dass alles wieder i. O. ist.

HERZLICHEN DANK für die Hilfen.

Macht den Spam-Verbrechern (oder noch schlimmeren Verbrechern) weiterhin das Leben schwer!

Martina

28.03.2008, 17:29

Bitte

Benenne hijackthis.exe in this.exe um und versuche nochmals ein neues logfile zu posten bitte auch angeben wenn mit HijackThis wieder problemem auftauchen (vorher wirklich einfach die .exe umbenennen

)

marelro · 28.03.2008, 18:15

Hallo Virus,

Also, schon wieder was gelernt: Der HJT läuft perfekt durch, und zwar weil ich mir das Programm neu runtergeladen habe und es einen Hinweis gab, dass man es über die rechte Maustaste als Administrator öffnen muss.

Dann schaut mal, ob ihr meinem PC jetzt die Absolution erteilen könnt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:55, on 28.03.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Common Files\aol\1202655797\ee\aolsoftware.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\AOL 9.0 VR\waol.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Common Files\AOL\Loader\aolload.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\AOL 9.0 VR\shellmon.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\MUSTERFRAU\Downloads\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1202655797\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VR\AOL.EXE" -b
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: ThinkRightNow.lnk = C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9236 bytes

28.03.2008, 18:24

gut

würde sagen dein logfile sieht wieder einigermassen ok aus

noch diese einträge fixen dann sollte alles i.o. sein (ist es eigentlich ja schon (mehr oder weniger))

O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)

O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)

O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - h**p://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)

marelro · 28.03.2008, 18:53

Ok, wurde erledigt!

Ein Prosit auf das Trojanerboard!

28.03.2008, 18:56

Nun hoffen wir das du nicht wieder einmal posten musst

27.03.2008, 22:13	#4
virus Gast	Trojan.Win32.Agent.ixj hi also bitte lass folgende datein hier oder hier online scanne (report unbedingt posten): O4 - Startup: ThinkRightNow.lnk = C:\Program Files\Moss Bay Software\Think Right Now 1.7\ThinkRightNow.exe bitte lade dir auch ccleaner herunter und lass ihn dein system säubern und auch registry ps. dein logfile sieht nicht allzu schlimm aus

28.03.2008, 17:29	#8
virus Gast	Trojan.Win32.Agent.ixj Bitte Benenne hijackthis.exe in this.exe um und versuche nochmals ein neues logfile zu posten bitte auch angeben wenn mit HijackThis wieder problemem auftauchen (vorher wirklich einfach die .exe umbenennen)

28.03.2008, 18:56	#12
virus Gast	Trojan.Win32.Agent.ixj Nun hoffen wir das du nicht wieder einmal posten musst

Trojan.Win32.Agent.ixj

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.Agent.ixj