Ständige Weiterleitungen und Pop-Ups

MarkusM · 10.05.2008, 16:35

Hallo liebe Experten,

habe mir irgendwie einen derben Spielverderber auf mein System gefangen.
Bekomme immer Werbeseiten von Pokerseiten aufgedonnert und Systemmitteilungen, das ich mein System schützen muss mit irgendeinem bestimmten Antivirenproggi.

Habe hier mal mein HiJack Log

(arbeite mit XP SP2, Internet Explorer und Mozilla)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:32, on 10.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKService.exe
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKWCtl.exe
d:\+++ office +++\internet\Fritzbox\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\svcntaux.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\svchost.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVKTray\AVKTray.exe
D:\+++ OFFICE +++\Internet\Fritzbox\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\system32\rundll32.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\rundll32.exe
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\avk.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\+++ OFFICE +++\Systemprogramme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\+++ OFFICE +++\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVKTray] "D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SDTray] "D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [TrayServer] D:\+++ GRAPHICS +++\Videobearbeitung\Magix Video DeLuxe\TrayServer.exe
O4 - HKLM\..\Run: [BMbbbd61d4] Rundll32.exe "C:\WINDOWS\system32\rwhgoenf.dll",s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\+++ OFFICE +++\Internet\Fritzbox\StCenter.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\+++ office +++\internet\Fritzbox\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - D:\+++ OFFICE +++\Brennen\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\swdsvc.exe

--
End of file - 4807 bytes

Wäre super wenn mir wer helfen könnte.

Lieben Gruss,
Markus

myrtille · 10.05.2008, 16:56

Hi,
erstelle bitte ein Log mit Malwarebytes und arbeite folgende Anleitung ab:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

lg myrtille

MarkusM · 10.05.2008, 17:23

Hallo,
danke schonmal für´s schnelle melden...

MBAM-Setup lässt sich leider nicht ausführen: Fehler-Meldung:

"Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:06d3 IP:03c1 OP:63 74 69 6f 6e Klicken Sie auf "schließen", um die Anwendung zu beenden."

Filelist ergab folgendes:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\

10.05.2008 18:03 2.145.386.496 pagefile.sys
10.05.2008 14:40 47.520 findaudio.log
09.05.2008 17:58 211 boot.ini
03.05.2008 15:45 350 CKINFO.TXT
03.05.2008 12:26 0 CONFIG.SYS
03.05.2008 12:26 0 IO.SYS
03.05.2008 12:26 0 AUTOEXEC.BAT
03.05.2008 12:26 0 MSDOS.SYS

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\system32

10.05.2008 18:09 206.289 FiOXxyxx.ini
10.05.2008 18:07 206.233 FiOXxyxx.ini2
10.05.2008 18:06 52.100 iklog.log
10.05.2008 17:22 1.504.950 saexbbkr.ini
10.05.2008 17:06 27 clkcnt.txt
10.05.2008 14:50 115.200 rkbbxeas.dll
10.05.2008 14:48 2.048 bfbvxrui.exe
10.05.2008 14:48 126.464 rwhgoenf.dll
10.05.2008 14:47 371.712 xxyxXOiF.dll
10.05.2008 14:42 52.736 ddcAsqQg.dll
08.05.2008 10:35 1.560.448 FNTCACHE.DAT
06.05.2008 23:18 2.206 wpa.dbl
03.05.2008 21:55 163.353 nvapps.xml
03.05.2008 21:29 48.354 perfc007.dat
03.05.2008 21:29 316.924 perfh007.dat
03.05.2008 21:29 40.128 perfc009.dat
03.05.2008 21:29 311.740 perfh009.dat
03.05.2008 21:29 723.744 PerfStringBackup.INI
03.05.2008 21:00 1.680 esnecil.ind
03.05.2008 15:14 1.680 esnecil.nlp
03.05.2008 13:19 0 h323log.txt
03.05.2008 12:28 261 $winnt$.inf
03.05.2008 12:26 2.951 CONFIG.NT
03.05.2008 12:26 16.832 amcompat.tlb
03.05.2008 12:26 23.392 nscompat.tlb
03.05.2008 12:24 488 WindowsLogon.manifest
03.05.2008 12:24 488 logonui.exe.manifest
03.05.2008 12:24 749 wuaucpl.cpl.manifest
03.05.2008 12:24 749 sapi.cpl.manifest
03.05.2008 12:24 749 nwc.cpl.manifest
03.05.2008 12:24 749 cdplayer.exe.manifest
03.05.2008 12:24 749 ncpa.cpl.manifest
03.05.2008 12:22 21.740 emptyregdb.dat

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\Prefetch

10.05.2008 18:09 12.566 FIND.EXE-0EC32F1E.pf
10.05.2008 18:09 13.994 CMD.EXE-087B4001.pf
10.05.2008 18:09 59.148 NOTEPAD.EXE-336351A9.pf
10.05.2008 18:09 191.638 WINRAR.EXE-3588DFE8.pf
10.05.2008 18:07 57.248 WMIPRVSE.EXE-28F301A9.pf
10.05.2008 18:07 31.114 FNPLICENSINGSERVICE.EXE-1A968544.pf
10.05.2008 18:07 17.732 RUNDLL32.EXE-2AD2A765.pf
10.05.2008 18:06 18.648 NTVDM.EXE-1A10A423.pf
10.05.2008 18:06 27.896 ALG.EXE-0F138680.pf
10.05.2008 18:06 26.200 SDTRAYAPP.EXE-19297460.pf
10.05.2008 18:05 19.576 IMAPI.EXE-0BF740A4.pf
10.05.2008 18:05 22.506 RUNDLL32.EXE-35A483DA.pf
10.05.2008 18:05 12.854 AVKPROXY.EXE-10D45F02.pf
10.05.2008 18:05 69.620 SVCHOST.EXE-3530F672.pf
10.05.2008 18:05 7.070 WDFMGR.EXE-2CF4013B.pf
10.05.2008 17:59 24.514 TASKMGR.EXE-20256C55.pf
10.05.2008 17:52 85.678 SPYBOTSD.EXE-28F72CA3.pf
10.05.2008 17:52 29.680 UPDATE.EXE-27ADD1F8.pf
10.05.2008 17:52 65.736 SDUPDATE.EXE-2629D3BF.pf
10.05.2008 17:50 27.626 TEATIMER.EXE-07EFF8A2.pf
10.05.2008 17:50 24.894 SPYBOTSD_INCLUDES.EXE-2BE472AD.pf
10.05.2008 17:49 20.820 SPYBOTSD152.TMP-1CFDF663.pf
10.05.2008 17:49 20.352 SPYBOTSD152.EXE-3A3EE9AD.pf
10.05.2008 17:43 178.460 AVK.EXE-06CB4ED8.pf
10.05.2008 17:40 197.076 IEXPLORE.EXE-2CA9778D.pf
10.05.2008 17:32 75.118 FIREFOX.EXE-37A1868D.pf
10.05.2008 17:29 98.536 MSIMN.EXE-0B61806C.pf
10.05.2008 17:18 70.480 HIJACKTHIS.EXE-264EE08D.pf
10.05.2008 17:13 24.538 TRAYSERVER.EXE-07DF02D2.pf
10.05.2008 16:23 128.336 WMPLAYER.EXE-0996933B.pf
10.05.2008 15:02 59.984 RUNDLL32.EXE-28E8A473.pf
10.05.2008 15:02 15.788 REGEDIT.EXE-1B606482.pf
10.05.2008 15:00 47.684 HJTINSTALL202.EXE-2A1C88C5.pf
10.05.2008 14:59 20.722 HIJACKTHIS.EXE-39024128.pf
10.05.2008 14:55 56.322 SWDOCTOR.EXE-09854BAC.pf
10.05.2008 14:51 21.816 RUNDLL32.EXE-16B58C2D.pf
10.05.2008 14:48 15.788 RUNDLL32.EXE-2241227D.pf
10.05.2008 14:48 9.796 BFBVXRUI.EXE-1E6EBC75.pf
10.05.2008 14:42 10.546 RASESNET.EXE-131E4315.pf
10.05.2008 14:36 23.266 MSDTC.EXE-0E6E4AF7.pf
10.05.2008 14:36 23.578 DLLHOST.EXE-5353C76C.pf
10.05.2008 14:36 16.966 MSHTA.EXE-331DF029.pf
10.05.2008 13:56 11.860 REGSVR32.EXE-25EEFE2F.pf
10.05.2008 13:56 66.508 VIDEODELUXE.EXE-30798DA9.pf
10.05.2008 13:49 16.870 RUNDLL32.EXE-12E27DD0.pf
10.05.2008 13:47 15.730 AGENTSVR.EXE-002E45AB.pf
10.05.2008 13:46 47.570 EXCEL.EXE-19CA9354.pf
10.05.2008 13:40 13.866 LIQUID~2.EXE-05B174C7.pf
10.05.2008 13:40 17.510 LIQUID.SETUP.EXE-0E41AC0D.pf
10.05.2008 13:40 13.444 SETUP.EXE-17B72B88.pf
10.05.2008 13:27 48.228 RUNDLL32.EXE-36A55E35.pf
10.05.2008 13:27 57.462 RUNDLL32.EXE-1942EEDC.pf
10.05.2008 13:27 11.516 CNMSE92.EXE-287D3D8B.pf
10.05.2008 13:26 85.224 CDLABELPRINT.EXE-248EB325.pf
10.05.2008 13:21 13.902 RUNDLL32.EXE-451FC2C0.pf
10.05.2008 13:16 28.542 NMINDEXINGSERVICE.EXE-19799BA6.pf
10.05.2008 13:16 106.270 NMIndexStoreSvr.exe-1DBCF9FD.pf
10.05.2008 13:16 25.116 NMBGMONITOR.EXE-0BC10095.pf
10.05.2008 13:15 61.326 NERO.EXE-2854A4C7.pf
10.05.2008 13:15 64.396 NEROSTARTSMART.EXE-34F73275.pf
10.05.2008 12:57 11.978 RUNDLL32.EXE-268BFF96.pf
10.05.2008 12:52 116.304 FIREFOX.EXE-13F03049.pf
10.05.2008 12:49 62.830 RSD.EXE-19BE6915.pf
10.05.2008 12:49 29.574 FBOXUPD.EXE-0496CF3C.pf
10.05.2008 12:49 59.064 STCENTER.EXE-26E4EBDC.pf
10.05.2008 12:49 4.450 RUNDLL32.EXE-415F88EC.pf
10.05.2008 12:49 3.806 AVKTRAY.EXE-1B11AD0A.pf
10.05.2008 12:45 27.628 LOGONUI.EXE-0AF22957.pf
10.05.2008 12:22 8.992 REGSET.EXE-32F13881.pf
10.05.2008 12:21 6.258 CHREG.EXE-18468F0F.pf
10.05.2008 12:21 6.830 40COMUPD.EXE-2848E7B1.pf
10.05.2008 12:20 30.492 IKERNEL.EXE-092EF074.pf
10.05.2008 12:20 29.254 SETUP.EXE-0E247BFE.pf
10.05.2008 12:19 6.210 RSSETUP.EXE-275CAC0C.pf
10.05.2008 12:18 8.488 SETUPSG.EXE-23AD419B.pf
10.05.2008 12:18 15.500 SETUPSG.EXE-1DD77F63.pf
10.05.2008 12:17 55.020 DEMO32.EXE-0D453361.pf
10.05.2008 12:17 17.032 SETUP.EXE-393E66AE.pf
09.05.2008 22:19 79.548 RUNDLL32.EXE-35E2C0B3.pf
09.05.2008 20:28 36.888 HELPSVC.EXE-2878DDA2.pf
09.05.2008 19:15 51.604 DFRGNTFS.EXE-269967DF.pf
09.05.2008 19:15 43.130 DEFRAG.EXE-273F131E.pf
09.05.2008 19:15 350.292 Layout.ini
09.05.2008 18:08 18.592 WEBWAIGD.EXE-0F3178E5.pf
09.05.2008 18:07 16.464 WEBWATCH.EXE-1A008748.pf
09.05.2008 18:07 53.752 FBOXDIAG.EXE-13975049.pf
09.05.2008 18:05 14.600 FWEBPROT.EXE-3083C94C.pf
09.05.2008 18:05 8.178 INSTLSP.EXE-03C1952A.pf
09.05.2008 14:05 98.558 WMPLAYER.EXE-09969339.pf
09.05.2008 13:58 109.962 QUICKTIMEPLAYER.EXE-09750953.pf
03.05.2008 12:35 264.968 NTOSBOOT-B00DFAAD.pf
96 Datei(en) 4.578.034 Bytes
0 Verzeichnis(se), 1.560.866.816 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS

10.05.2008 18:07 254 wiadebug.log
10.05.2008 18:06 578 win.ini
10.05.2008 18:06 32.543 error.log
10.05.2008 18:05 0 0.log
10.05.2008 18:05 50 wiaservc.log
10.05.2008 18:04 22 pskt.ini
10.05.2008 18:04 878 BMbbbd61d4.txt
10.05.2008 18:03 2.048 bootstat.dat
10.05.2008 18:03 597 errord.log
10.05.2008 17:23 324 cookies.ini
10.05.2008 17:06 69 NeroDigital.ini
10.05.2008 14:48 109.803 BMbbbd61d4.xml
10.05.2008 12:49 382.266 setupapi.log
10.05.2008 12:45 5.636 SchedLgU.Txt
10.05.2008 12:45 13.010 WindowsUpdate.log
09.05.2008 17:58 227 system.ini
09.05.2008 13:55 0 nsreg.dat
07.05.2008 21:23 403 ODBC.INI
06.05.2008 13:39 6.768 mgxoschk.ini
06.05.2008 12:06 64 Sam10_E.INI
05.05.2008 16:09 41.798 wmsetup.log
05.05.2008 13:59 1.528 avmadd32.log
05.05.2008 13:59 3.039 avmadd321.log
05.05.2008 13:42 316.640 WMSysPr9.prx
05.05.2008 11:35 62 SpywareDoctor5Install.log
05.05.2008 11:33 315.392 HideWin.exe
05.05.2008 00:37 74.987 DirectX.log
04.05.2008 23:53 61.184 iis6.log
04.05.2008 23:53 1.874 tabletoc.log
04.05.2008 23:53 10.567 ntdtcsetup.log
04.05.2008 23:53 1.569 ocmsn.log
04.05.2008 23:53 1.355 imsins.log
04.05.2008 23:53 15.829 tsoc.log
04.05.2008 23:53 20.272 comsetup.log
04.05.2008 23:53 6.192 KB893803v2.log
04.05.2008 23:53 4.956 netfxocm.log
04.05.2008 23:53 2.337 MedCtrOC.log
04.05.2008 23:53 1.483 msgsocm.log
04.05.2008 23:53 20.564 ocgen.log
04.05.2008 23:53 23.903 FaxSetup.log
04.05.2008 23:52 13.816 msmqinst.log
04.05.2008 12:20 107 avmsysnet.log
03.05.2008 21:30 8.351 KB888111.log
03.05.2008 21:28 1.355 imsins.BAK
03.05.2008 21:09 48 S327F0921.tmp
03.05.2008 20:50 204.436 setupact.log
03.05.2008 15:14 4 vx86036.dat
03.05.2008 15:14 59 Crypkey.ini
03.05.2008 14:48 23 hotcore2.log
03.05.2008 13:14 0 Sti_Trace.log
03.05.2008 13:10 1.348 regopt.log
03.05.2008 13:08 0 setuperr.log
03.05.2008 12:30 829 OEWABLog.txt
03.05.2008 12:30 954.459 setuplog.txt
03.05.2008 12:29 8.192 REGLOCS.OLD
03.05.2008 12:26 0 control.ini
03.05.2008 12:25 4.161 ODBCINST.INI
03.05.2008 12:24 749 WindowsShell.Manifest
03.05.2008 12:22 1.023 sessmgr.setup.log
03.05.2008 12:21 37 vbaddin.ini
03.05.2008 12:21 36 vb.ini
03.05.2008 12:21 133 DtcInstall.log
03.05.2008 12:19 200 cmsetacl.log

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\tasks

10.05.2008 18:04 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 1.560.858.624 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\DOKUME~1\abc\LOKALE~1\Temp

10.05.2008 18:09 118.478 filelist.txt
10.05.2008 18:08 2.351 amt.log
10.05.2008 18:07 807 alm.log
10.05.2008 18:07 893 TWAIN.LOG
10.05.2008 18:07 2 Twain001.Mtx
10.05.2008 18:07 156 Twunk001.MTX
10.05.2008 18:07 0 Twunk002.MTX
10.05.2008 18:04 49.152 ~DF3291.tmp
10.05.2008 12:48 49.152 ~DF1A3D.tmp
06.05.2008 23:24 147 DFC5A2B2.TMP
10 Datei(en) 221.138 Bytes
0 Verzeichnis(se), 1.560.854.528 Bytes frei

myrtille · 10.05.2008, 18:10

Hi,

probier es bitte nochmal mit folgendem Setup: link

lg myrtille

MarkusM · 10.05.2008, 20:40

Die Installation von der Quelle hat funktioniert. Das Proggi ist mittlerweile seit 2Std 13Min am durchforsten. Wollte nur sagen, dass ich noch lebe

MarkusM · 10.05.2008, 20:49

So, am Ende ging´s doch schnell...

Hier das Log-File von mbam:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 738

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 160361
Scan Dauer: 2 hour(s), 20 minute(s), 54 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\xxyxXOiF.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ddcAsqQg.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6e9caa7-8ec6-4cee-8165-0006d637de06} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f6e9caa7-8ec6-4cee-8165-0006d637de06} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcasqqg (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMbbbd61d4 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyxxoif -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyxxoif -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\rkbbxeas.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\saexbbkr.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyxXOiF.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\FiOXxyxx.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\FiOXxyxx.ini2 (Trojan.Vundo) -> No action taken.
C:\brennen\RAPIDSHARE\Sound\PGuitarist.v1.2\Crack\DAccordPersonalGuitaristv12_Crack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\rwhgoenf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ddcAsqQg.dll (Trojan.Vundo) -> No action taken.

myrtille · 10.05.2008, 20:59

Hi,
lass Malwarebytes alles entfernen, was gefunden wurde und erstell bitte ein neues filelist.
Poste das Ergebnis des Filelists hier.

lg myrtille

MarkusM · 10.05.2008, 23:36

Hier der zweite Durchgang -> Hab´schonmal alles davon löschen lassen, bin nämlich morgen erst wieder hier:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 738

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 145597
Scan Dauer: 1 hour(s), 16 minute(s), 13 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6e9caa7-8ec6-4cee-8165-0006d637de06} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f6e9caa7-8ec6-4cee-8165-0006d637de06} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcasqqg (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMbbbd61d4 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyxxoif -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyxxoif -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\xxyxXOiF.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FiOXxyxx.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rwhgoenf.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddcAsqQg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

myrtille · 10.05.2008, 23:41

Hi

Wie verhält sich der Rechner?
Poste bitte ein neues filelist-Log und ein neues Hijackthislog

lg myrtille

MarkusM · 11.05.2008, 13:43

Hallo

beim dritten Durchlauf hat er nix mehr gefunden...
Allerdings lässt er mich nicht mehr auf alle Seiten (Ein paar Foren und Boards sind nicht zugänglich - Gott sei dank geht dieses noch) - da schreibt er immer "404 Fehler - Die Seite wurde nicht gefunden"
Und er ist sehr sehr langsam geworden....

Hier die entsprechenden Logfiles:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 738

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 145694
Scan Dauer: 1 hour(s), 19 minute(s), 18 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

-----HiJackThis-----

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:17, on 11.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVKTray\AVKTray.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\SDTrayApp.exe
D:\+++ OFFICE +++\Internet\Fritzbox\StCenter.exe
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKService.exe
D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKWCtl.exe
d:\+++ office +++\internet\Fritzbox\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\svcntaux.exe
D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
D:\+++ OFFICE +++\Internet\Mozilla Firefox\firefox.exe
D:\+++ OFFICE +++\Systemprogramme\Malwarebytes' Anti-Malware\mbam.exe
D:\+++ OFFICE +++\Systemprogramme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\+++ OFFICE +++\Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\+++ OFFICE +++\Systemprogramme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\+++ OFFICE +++\Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\+++ OFFICE +++\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVKTray] "D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [SDTray] "D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [TrayServer] D:\+++ GRAPHICS +++\Videobearbeitung\Magix Video DeLuxe\TrayServer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\+++ OFFICE +++\Internet\Fritzbox\StCenter.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\+++ OFFICE +++\Systemprogramme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\+++ OFFICE +++\Systemprogramme\Spybot - Search & Destroy\SDHelper.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - D:\+++ OFFICE +++\Systemprogramme\GData Antivirenkit\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\+++ office +++\internet\Fritzbox\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - D:\+++ OFFICE +++\Brennen\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - D:\+++ OFFICE +++\Systemprogramme\Spyware Doctor\swdsvc.exe

--
End of file - 5319 bytes

Muss jetzt heute sowieso erstmal familiäre Verpflichtungen erledigen, danke Dir bis jetzt aber schon tausendmal

Lieben Gruss,
Markus

myrtille · 11.05.2008, 13:50

Hi,
ich bräuchte noch so ein Log:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Da gabs glaub ich ein Missverstädnis

Für die Langsamkeit seh ich erstmal keinen Anlass, seit wann tritt dass denn auf? Seit dem ersten Scan? Seit der Bereinigung? Später?

lg myrtille

MarkusM · 14.05.2008, 13:49

Hi nochmal,

habe zuerst gar nicht gesehen, dass schon die zweite Seite weiterging

(habe schon überlegt "Schreibt nicht, ruft nicht an ... *schnüff*)

Hier auf jeden Fall die Filelist-Logdatei (sorry für mein Missverständnis)

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\

13.05.2008 10:21 2.145.386.496 pagefile.sys
10.05.2008 14:40 47.520 findaudio.log
09.05.2008 17:58 211 boot.ini
03.05.2008 15:45 350 CKINFO.TXT
03.05.2008 12:26 0 CONFIG.SYS
03.05.2008 12:26 0 IO.SYS
03.05.2008 12:26 0 AUTOEXEC.BAT
03.05.2008 12:26 0 MSDOS.SYS

11 Datei(en) 2.145.738.277 Bytes
0 Verzeichnis(se), 201.809.309.696 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\system32

14.05.2008 12:04 66.640 iklog.log
13.05.2008 10:21 2.206 wpa.dbl
10.05.2008 17:06 27 clkcnt.txt
10.05.2008 14:48 2.048 bfbvxrui.exe
08.05.2008 10:35 1.560.448 FNTCACHE.DAT
03.05.2008 21:55 163.353 nvapps.xml
03.05.2008 21:29 316.924 perfh007.dat
03.05.2008 21:29 311.740 perfh009.dat
03.05.2008 21:29 40.128 perfc009.dat
03.05.2008 21:29 48.354 perfc007.dat
03.05.2008 21:29 723.744 PerfStringBackup.INI
03.05.2008 21:00 1.680 esnecil.ind
03.05.2008 15:14 1.680 esnecil.nlp
03.05.2008 13:19 0 h323log.txt
03.05.2008 12:28 261 $winnt$.inf
03.05.2008 12:26 2.951 CONFIG.NT
03.05.2008 12:26 16.832 amcompat.tlb
03.05.2008 12:26 23.392 nscompat.tlb
03.05.2008 12:24 488 logonui.exe.manifest
03.05.2008 12:24 488 WindowsLogon.manifest
03.05.2008 12:24 749 wuaucpl.cpl.manifest
03.05.2008 12:24 749 cdplayer.exe.manifest
03.05.2008 12:24 749 nwc.cpl.manifest
03.05.2008 12:24 749 sapi.cpl.manifest
03.05.2008 12:24 749 ncpa.cpl.manifest
03.05.2008 12:22 21.740 emptyregdb.dat

2128 Datei(en) 469.350.022 Bytes
0 Verzeichnis(se), 201.809.166.336 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\Prefetch

14.05.2008 14:41 12.664 FIND.EXE-0EC32F1E.pf
14.05.2008 14:41 11.598 CMD.EXE-087B4001.pf
14.05.2008 14:24 51.528 RUNDLL32.EXE-2E5AF1D7.pf
14.05.2008 14:22 125.940 AVK.EXE-06CB4ED8.pf
14.05.2008 12:59 198.792 NOTEPAD.EXE-336351A9.pf
14.05.2008 12:57 15.776 RUNDLL32.EXE-1699AB4E.pf
14.05.2008 12:57 55.176 TMFOREVER.EXE-0EF144C6.pf
14.05.2008 12:57 22.328 TMFOREVERLAUNCHER.EXE-09723619.pf
14.05.2008 12:53 7.360 DXDLLREG.EXE-0D6EA013.pf
14.05.2008 12:53 49.582 DXSETUP.EXE-35E36CA2.pf
14.05.2008 12:50 12.520 TMNATIONSFOREVER_SETUP.TMP-06D48FC2.pf
14.05.2008 12:50 14.306 TMNATIONSFOREVER_SETUP.EXE-05913EE5.pf
14.05.2008 12:40 11.462 XPINSTALL.EXE-3A07AF9D.pf
14.05.2008 12:35 139.510 FIREFOX.EXE-13F03049.pf
14.05.2008 12:34 14.196 BEAUTYPILOT.EXE-1770214C.pf
14.05.2008 12:34 15.806 BEAUTYPILOT.TMP-35A79A59.pf
14.05.2008 12:33 142.174 WINRAR.EXE-3588DFE8.pf
14.05.2008 12:31 104.432 IEXPLORE.EXE-2CA9778D.pf
14.05.2008 12:19 119.024 RSD.EXE-19BE6915.pf
14.05.2008 12:03 12.226 RA SETUP.EXE-3527383B.pf
14.05.2008 11:17 98.296 WMIPRVSE.EXE-28F301A9.pf
14.05.2008 11:17 42.286 HELPSVC.EXE-2878DDA2.pf
14.05.2008 11:12 296.822 Layout.ini
14.05.2008 10:56 51.696 AGENTSVR.EXE-002E45AB.pf
14.05.2008 10:56 50.834 EXCEL.EXE-19CA9354.pf
14.05.2008 04:30 34.522 SETUP_WM.EXE-19AC5A9B.pf
14.05.2008 01:45 48.328 WMPLAYER.EXE-09969338.pf
13.05.2008 19:33 89.860 MSIMN.EXE-0B61806C.pf
13.05.2008 17:12 14.210 NUIP.EXE-059E15AA.pf
13.05.2008 13:01 65.988 RUNDLL32.EXE-36A55E35.pf
13.05.2008 13:01 11.516 CNMSE92.EXE-287D3D8B.pf
13.05.2008 12:55 29.042 DIVXSM.EXE-3407AB62.pf
13.05.2008 12:53 66.676 WMPLAYER.EXE-0996933A.pf
13.05.2008 12:51 99.026 WMPLAYER.EXE-09969339.pf
13.05.2008 12:21 10.862 _REGDLL.TMP-06A62577.pf
13.05.2008 10:50 20.228 RUNDLL32.EXE-2AD2A765.pf
13.05.2008 10:50 143.112 PHOTOSHOP.EXE-08BA5B83.pf
13.05.2008 10:33 25.012 FNPLICENSINGSERVICE.EXE-1A968544.pf
13.05.2008 10:23 68.320 SVCHOST.EXE-3530F672.pf
13.05.2008 10:23 29.514 FBOXUPD.EXE-0496CF3C.pf
13.05.2008 10:23 35.848 ALG.EXE-0F138680.pf
13.05.2008 10:23 24.394 SDTRAYAPP.EXE-19297460.pf
13.05.2008 10:23 47.164 IMAPI.EXE-0BF740A4.pf
13.05.2008 10:23 22.258 RUNDLL32.EXE-35A483DA.pf
12.05.2008 08:48 25.222 LOGONUI.EXE-0AF22957.pf
12.05.2008 02:19 24.102 RUNDLL32.EXE-451FC2C0.pf
11.05.2008 15:55 62.614 DFRGNTFS.EXE-269967DF.pf
11.05.2008 15:55 38.030 DEFRAG.EXE-273F131E.pf
10.05.2008 13:27 57.462 RUNDLL32.EXE-1942EEDC.pf
09.05.2008 13:58 109.962 QUICKTIMEPLAYER.EXE-09750953.pf
03.05.2008 12:35 264.968 NTOSBOOT-B00DFAAD.pf
51 Datei(en) 3.144.574 Bytes
0 Verzeichnis(se), 201.809.186.816 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS

14.05.2008 12:54 121.020 DirectX.log
14.05.2008 12:40 1.200 mozver.dat
14.05.2008 10:52 43.226 wmsetup.log
13.05.2008 12:55 69 NeroDigital.ini
13.05.2008 10:51 634 wiadebug.log
13.05.2008 10:24 600 win.ini
13.05.2008 10:24 35.516 error.log
13.05.2008 10:22 0 0.log
13.05.2008 10:22 50 wiaservc.log
13.05.2008 10:21 2.048 bootstat.dat
13.05.2008 10:21 654 errord.log
12.05.2008 08:48 6.284 SchedLgU.Txt
12.05.2008 08:48 13.493 WindowsUpdate.log
10.05.2008 18:29 26 Lic.xxx
10.05.2008 18:04 22 pskt.ini
10.05.2008 18:04 878 BMbbbd61d4.txt
10.05.2008 17:23 324 cookies.ini
10.05.2008 14:48 109.803 BMbbbd61d4.xml
10.05.2008 12:49 382.266 setupapi.log
09.05.2008 17:58 227 system.ini
09.05.2008 13:55 0 nsreg.dat
07.05.2008 21:23 403 ODBC.INI
06.05.2008 13:39 6.768 mgxoschk.ini
06.05.2008 12:06 64 Sam10_E.INI
05.05.2008 13:59 3.039 avmadd321.log
05.05.2008 13:59 1.528 avmadd32.log
05.05.2008 13:42 316.640 WMSysPr9.prx
05.05.2008 11:35 62 SpywareDoctor5Install.log
05.05.2008 11:33 315.392 HideWin.exe
04.05.2008 23:53 61.184 iis6.log
04.05.2008 23:53 1.569 ocmsn.log
04.05.2008 23:53 15.829 tsoc.log
04.05.2008 23:53 10.567 ntdtcsetup.log
04.05.2008 23:53 1.355 imsins.log
04.05.2008 23:53 20.272 comsetup.log
04.05.2008 23:53 1.874 tabletoc.log
04.05.2008 23:53 6.192 KB893803v2.log
04.05.2008 23:53 20.564 ocgen.log
04.05.2008 23:53 1.483 msgsocm.log
04.05.2008 23:53 4.956 netfxocm.log
04.05.2008 23:53 2.337 MedCtrOC.log
04.05.2008 23:53 23.903 FaxSetup.log
04.05.2008 23:52 13.816 msmqinst.log
04.05.2008 12:20 107 avmsysnet.log
03.05.2008 21:30 8.351 KB888111.log
03.05.2008 21:28 1.355 imsins.BAK
03.05.2008 21:09 48 S327F0921.tmp
03.05.2008 20:50 204.436 setupact.log
03.05.2008 15:14 4 vx86036.dat
03.05.2008 15:14 59 Crypkey.ini
03.05.2008 14:48 23 hotcore2.log
03.05.2008 13:14 0 Sti_Trace.log
03.05.2008 13:10 1.348 regopt.log
03.05.2008 13:08 0 setuperr.log
03.05.2008 12:30 829 OEWABLog.txt
03.05.2008 12:30 954.459 setuplog.txt
03.05.2008 12:29 8.192 REGLOCS.OLD
03.05.2008 12:26 0 control.ini
03.05.2008 12:25 4.161 ODBCINST.INI
03.05.2008 12:24 749 WindowsShell.Manifest
03.05.2008 12:22 1.023 sessmgr.setup.log
03.05.2008 12:21 37 vbaddin.ini
03.05.2008 12:21 36 vb.ini
03.05.2008 12:21 133 DtcInstall.log
03.05.2008 12:19 200 cmsetacl.log
19.02.2008 15:34 16.858.112 RTHDCPL.exe

126 Datei(en) 48.432.384 Bytes
0 Verzeichnis(se), 201.809.174.528 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\tasks

13.05.2008 10:21 6 SA.DAT
04.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 201.809.178.624 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\WINDOWS\temp

14.05.2008 14:03 179.704 cteng_1_2_181210763357.dat
14.05.2008 14:03 434 cteng_index.dat
14.05.2008 14:03 150.648 cteng_1_2_161210763201.dat
14.05.2008 12:41 107.356 cteng_1_1_91210758868.dat
14.05.2008 08:40 207.884 cteng_1_2_201210744821.dat
14.05.2008 08:40 203.912 cteng_1_2_141210745729.dat
14.05.2008 07:40 153.844 cteng_1_2_41210741230.dat
14.05.2008 07:40 171.460 cteng_1_2_181210742124.dat
14.05.2008 07:40 144.912 cteng_1_2_161210743028.dat
14.05.2008 06:40 166.964 cteng_1_2_71210738548.dat
14.05.2008 06:40 101.720 cteng_1_1_71210738549.dat
13.05.2008 19:38 176.444 cteng_1_2_171210680058.dat
13.05.2008 19:38 261.684 cteng_1_2_131210520895.dat
13.05.2008 19:38 101.456 cteng_1_1_81210698199.dat
13.05.2008 19:38 85.256 cteng_1_1_41210698203.dat
13.05.2008 19:38 103.132 cteng_1_1_141210683020.dat
13.05.2008 19:38 97.972 cteng_1_1_131210688645.dat
13.05.2008 19:38 82.648 cteng_1_1_121210698204.dat
13.05.2008 19:38 100.092 cteng_1_1_111210698202.dat
13.05.2008 19:38 83.416 cteng_1_1_101210678622.dat
10.05.2008 13:46 146.436 cteng_1_2_151210013067.dat
09.05.2008 15:42 153 DFC5A2B2.TMP
22 Datei(en) 2.827.527 Bytes
0 Verzeichnis(se), 201.809.178.624 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist SYSTEM_(IDE)
Volumeseriennummer: B88E-52E7

Verzeichnis von C:\DOKUME~1\abc\LOKALE~1\Temp

14.05.2008 14:41 116.863 filelist.txt
14.05.2008 04:30 12.818 control.xml
13.05.2008 13:00 12.107 amt.log
13.05.2008 12:59 4.192 alm.log
13.05.2008 12:20 11.343 CFG91.tmp
13.05.2008 10:32 896 TWAIN.LOG
13.05.2008 10:32 3 Twain001.Mtx
13.05.2008 10:32 156 Twunk001.MTX
13.05.2008 10:22 49.152 ~DF9667.tmp
11.05.2008 12:30 49.152 ~DF9A7C.tmp
10.05.2008 22:13 311.296 ~DF2E13.tmp
10.05.2008 22:07 49.152 ~DF9DE3.tmp
10.05.2008 19:26 311.296 ~DF9B2C.tmp
10.05.2008 19:19 2.918.000 MWAV.LOG
10.05.2008 19:18 4.207 mwXface.log
10.05.2008 19:17 758.075 MWAVC.LOG
10.05.2008 18:58 0 32A6FA.dmp
10.05.2008 18:51 0 2BE2BD.dmp
10.05.2008 18:33 387 EUpdate.ini
10.05.2008 18:33 9.465 Download.log
10.05.2008 18:29 9.150 filelist.lst
10.05.2008 18:29 0 download.lck
10.05.2008 18:28 84 sfdb.dat
10.05.2008 18:28 626.688 msvcr80.dll
10.05.2008 18:28 548.864 msvcp80.dll
10.05.2008 18:28 241.664 MYDB.DLL
10.05.2008 18:07 0 Twunk002.MTX
10.05.2008 18:04 49.152 ~DF3291.tmp
10.05.2008 12:48 49.152 ~DF1A3D.tmp
07.05.2008 18:21 147 DFC5A2B2.TMP
24.03.2008 19:18 112.796 xpinstall.exe

567 Datei(en) 39.009.653 Bytes
0 Verzeichnis(se), 201.809.149.952 Bytes frei

Die Langsamkeit des Rechners kam zusammen mit dem Virus. Habe den Rechner relativ frisch, umso mehr hat mich mein Virenbefall auch gewundert. Hatte vorher einen pickepacke vollen Rechner der nie was hatte.

Lieben Gruss,
Markus

myrtille · 14.05.2008, 17:14

Hehe,
ok, man sieht noch einen Rest des Befalls.
Arbeite daher bitte Folgendes ab:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\bfbvxrui.exe
C:\WINDOWS\system32\clkcnt.txt

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Und nen gleichen Bericht über das Verhalten deines Rechners wär auch gut.

lg myrtille

MarkusM · 14.05.2008, 19:23

Hallo nochmal,

Avenger hat grad seinen Dienst pflichtgemäss verrichtet und neu gebootet. Die Boards und Foren sind allerdings immernoch nicht zugänglich *verzweifel*

Ich glaub´ ich versuch´s mal "auf doof" mit ´ner Neuinstallation der FritzBox, Kollege meinte, dass er das auch schonmal hatte und nach besagter Neuinstallation ging´s wieder ...
Schaden kann´s ja nicht, denk´ ich mal.

Hier auf jeden Fall schonmal das Logfile vom Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\bfbvxrui.exe" deleted successfully.
File "C:\WINDOWS\system32\clkcnt.txt" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Lieben Gruss,
Markus

10.05.2008, 18:10	#4
myrtille /// TB-Ausbilder	Ständige Weiterleitungen und Pop-Ups Hi, probier es bitte nochmal mit folgendem Setup: link lg myrtille __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly!

Ständige Weiterleitungen und Pop-Ups

Log-Analyse und Auswertung: Ständige Weiterleitungen und Pop-Ups