Bitte mach zum Schluss einen Komplett Scan mit Kaspersky.
Bitte auch neues HijackThis logfile posten, danke.

Kaspersky am anfang akzeptieren geht nicht... Habe das mit killbox versucht und anschließend noch mal versucht die beiden dateien zu finden - waren aber weg

Hey Virus!

Kaspersky funkt irgendwie nicht... Hab avg komplett laufen lassen und hatte nichts mehr gefunden.
Wegen:
C:\Windows\System32\netiougc.exe
hat sich leider keiner mehr gemeldet hier

und dann der benötigte log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:44, on 15.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\***\Desktop\klm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://***.unitymedia.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://***.unitymedia.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://***.unitymedia.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h***://de.rd.yahoo.com/customize/ycomp/defaults/su/*h***://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h***://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h***://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7754 bytes


Und was nun?

lg

Hab gerade die besagte datei C:\Windows\System32\netiougc.exe noch bei virscan.org laufen lassen und das kam...


Dateiname : netiougc.exe
Größe : 22016 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : 1a8df1e7da3316e119c50e1261aaa6da
SHA1 : 79cdb072cd3954a69fc47ffb43407a5ef8130fb1

Scan Ergebnis
Scan Ergebnis : 3% der Scanner (1/36) haben Malware gefunden!
Zeit : 2008/04/15 18:54:32 (CEST)
Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.04.10 2008-04-10
-
4.596
AhnLab V3 2008.04.11.01 2008.04.11 2008-04-11
-
2.057
AntiVir 7.8.0.6 7.0.3.170 2008-04-15
-
5.336
Arcavir 1.0.4 200804150031 2008-04-15
-
3.996
Avast 1.0.8 080415-1 2008-04-15
-
9.176
AVG 7.5.51.442 269.22.13/1378 2008-04-15
-
8.584
BitDefender 7.60825.1143785 7.18472 2008-04-15
-
12.389
CA (VET) 9.0.0.143 31.3.5700 2008-04-15
-
10.633
ClamAV 0.92 6781 2008-04-15
-
0.011
Comodo 2.11 2.0.0.492 2008-04-11
-
1.803
CP Secure 1.1.0.715 2008.04.15 2008-04-15
-
12.039
Dr.Web 4.44.0.9170 2008.04.15 2008-04-15
-
12.342
Ewido 4.0.0.2 2008.04.11 2008-04-11
-
2.851
F-Prot 4.4.1.52 20080414 2008-04-14
-
4.321
F-Secure 5.51.6100 2008.04.15.07 2008-04-15
-
4.305
Fortinet 2.81-3.11 8.951 2008-04-11
-
12.368
Ikarus T3.1.01.26 2008.04.13.70597 2008-04-13
-
4.802
JiangMin 10.00.650 2008.04.15 2008-04-15
-
5.160
Kaspersky 5.5.10 2008.04.15 2008-04-15
-
9.166
KingSoft 2007.6.20.249 2008.4.15 2008-04-15
-
7.967
McAfee 5.2.00 5273 2008-04-14
-
5.090
Microsoft 1.3408 2008.04.11 2008-04-11
-
40.418
mks_vir 2.01 2008.04.15 2008-04-15
-
4.541
Norman 5.91.10 5.90 2008-04-11
-
14.703
nProtect 2008-04-11.00 1374568 2008-04-11
-
33.194
Panda 9.04.03.0001 2008.04.14 2008-04-14
-
14.399
Prevx V2 20080412 2008-04-12
TROJAN.NET.BASINTH.A
10.462
Quick Heal 9.00 2008.04.14 2008-04-14
-
7.203
Rising 20.0 20.39.32.00 2008-04-10
-
3.248
Sophos 2.72.0 4.28 2008-04-14
-
11.847
Symantec 1.3.0.24 20080414.016 2008-04-14
-
0.396
The Hacker 6.2.92 v00273 2008-04-10
-
14.379
Trend Micro 8.500-1001 5.218.07 2008-04-15
-
0.050
VBA32 3.12.6.4 20080415.0817 2008-04-15
-
4.298
ViRobot 20080415 2008.04.15 2008-04-15
-
8.370
VirusBuster 4.3.19:9 9.123.43/11.0 2008-04-15
-
4.110

Hallo

Bitte schicke diese Dateien hier hin:

C:\Windows\PLFSetL.exe
C:\Windows\PLFSet.dll

Ich habe ewig lange danach gegoogelt mich durch englische Foren geschlagen usw. aber meistens wusste niemand wirklich um was es sich handelt Was ich gelesen habe, kann es sein das sie zur Grafikkarte gehören könnte, auch habe ich gelesen das sich "Win32Root" dahinter versteckt und auch das es ein Backdoor sein könnte... achja genau von Sonix ist sie vlt. auch noch

Diese Datei: C:\Windows\System32\netiougc.exe ist wohl von Microsoft.
Bitte wende noch SuperAntiSpyware an.
Meldet dein AntiVir immer noch wie anfangs beschrieben?

Hi!

Ich bin dir wirklich sehr dankbar!!
Habe versucht die beiden Dateien an die von dir genannte adresse zu senden. Könnte sie aber nicht hochladen bzw C:\Windows\PLFSetL.exe hat er nicht gefunden. Bei der anderen soll es sich um "Programmbibliothek" handeln mit letztem änderungsdatum mai 2007. den laptop habe ich erst seit 3 Monaten...

Die netiougc.exe hatte ich auch gefunden im netzt. Das heißt das kann ich so belassen?!
SuperAntiSpyware mache ich nachher direkt nach der Arbeit.

AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch

Und was ist mit diesem TROJAN.NET.BASINTH.A

Zitat:

Zitat von Bärlin

Die netiougc.exe hatte ich auch gefunden im netzt. Das heißt das kann ich so belassen?!

Das kannst du so belassen ja

Zitat:

Zitat von Bärlin

Und was ist mit diesem TROJAN.NET.BASINTH.A

Einer von 36 Scanner hat anscheinend etwas gefunden....
Da die Datei (wie ich erst später herausgefunden habe) von Microsoft ist, habe ich da keine Bedenken

Zitat:

Zitat von Bärlin

AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch

Kannst du das etwas erläutern bitte

Hast du die Anfänglich Beschriebenen Probleme noch?

Bei diesen zwei Datein muss ich mir noch was überlegen

C:\Windows\PLFSetL.exe
C:\Windows\PLFSet.dll
ich möchte eigentlich keine Dateien löschen lassen die mir unbekannt sind...

werde mich morgen wieder melden

Hallo

hier der log aus dem superantispyware

SUPERAntiSpyware Scan Log

Generated 04/16/2008 at 12:43 PM

Application Version : 4.0.1154

Core Rules Database Version : 3439
Trace Rules Database Version: 1431

Scan type : Complete Scan
Total Scan Time : 00:37:49

Memory items scanned : 719
Memory threats detected : 0
Registry items scanned : 6163
Registry threats detected : 0
File items scanned : 71993
File threats detected : 2

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt




Zitat:
Zitat von Bärlin Beitrag anzeigen
AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch

Zitat:
Zitat von VirusBeitrag anzeigen
Kannst du das etwas erläutern bitte

Also, wenn ich AVG viruscheck laufen habe wird immer während des scans unter dem Feld

Object :
C:\Windows\System32\shell32.dll bzw als zweites
C:\Windows\System32\ntoskml.exe angezeigt und bei beiden unter den Feldern

Result : Status:
Change Changed.

Ein Bekannter meinte damals, das das normal wäre.
Seit dem wir das hier gemeinsam gemacht haben steht jetzt zusätzlich dort aufgeführt noch

Object:
C:\Windows\System32\drivers\etc\hosts und unter Result und Status wie bei beiden anderen. Hat das was zu bedeuten?

Gruß

Bitte lass mal CCleaner laufen.

Bezüglich diesen beiden Dateien:

C:\Windows\PLFSetL.exe
C:\Windows\PLFSet.dllL
Lösche sie bitte mit KillBox (in meiner Signatur)
Der Entschluss ist für mich aufgrund diesem Hinweis gefallen.
Ansonsten haben wir's glaub geschafft
Bitte mach zum Schluss noch einen Onlin Scan mit Kaspersky.
Bestehen die anfänglich beschriebenen Probleme noch, oder vlt. andere neue?

Hallo!

Ok, ich habe den CCleaner noch mal benutzt.

Die beiden Dateien habe ich mit der killbox gelöscht. Danke für den link warum du das für richtig hältst.
Leider knn ich, wie letztens schon mal geschrieben, Kaspersky noch immer nicht laufen lassen... Keine Ahnung warum.
Probleme oder so gibbet nicht. Braucht nur geringfügig länger zum runterfahren aber das heißt ja nüscht.

Was ist mit den beiden dinger die bei der analyse mit SUPERAntiSpyware rausgekommen ist und unter quarantäne liegen sowie mit dem erwähnten :\Windows\System32\drivers\etc\hosts?? Kann alles so bleiben?
Meinst also wäre alles überstanden?
Das wäre schön. Dafür danke ich dir rechtherzlich schon mal. Hat mich wirklich sehr gefreut, dass es so schnell ubd gut ging, wirklich :aplaus:

Ich würde sagen es ist alles wieder ok

Alles wieder ok?!

Wie gesagt viiielen Dank für die super schnelle und ausführliche/geduldige Hilfe!!!

Kein Problem