Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Spyware Problem!!!!

Spyware Problem!!!!


Log-Analyse und Auswertung: Spyware Problem!!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.05.2008, 14:52   #1
tech-checker
 
Spyware Problem!!!! - Daumen hoch

Spyware Problem!!!!


so...
erst mal ein ganz großes danke für deine hilfe!!!
ich hab nicht alle scans gemacht...hatte keinezeit dazu...
aber ich geb dir von jedem scan den ich gemacht hab.

blacklight
Code:
ATTFilter
05/20/08 14:01:23 [Info]: BlackLight Engine 1.0.70 initialized
05/20/08 14:01:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/20/08 14:01:23 [Note]: 7019 4
05/20/08 14:01:23 [Note]: 7005 0
05/20/08 14:01:27 [Note]: 7006 0
05/20/08 14:01:27 [Note]: 7011 3824
05/20/08 14:01:27 [Note]: 7035 0
05/20/08 14:01:27 [Note]: 7026 0
05/20/08 14:01:27 [Note]: 7026 0
05/20/08 14:01:30 [Note]: FSRAW library version 1.7.1024
05/20/08 14:09:34 [Note]: 7007 0
combofix
Code:
ATTFilter
ComboFix 08-05-19.4 - Administrator 2008-05-20 14:19:06.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1444 [GMT 2:00]
ausgeführt von:: C:\jonas\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\dvsycbec.ini
C:\WINDOWS\system32\gQqsCJjl.ini
C:\WINDOWS\system32\gQqsCJjl.ini2
C:\WINDOWS\system32\gtornyhu.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nsotxanr.ini
C:\WINDOWS\system32\qavntlff.ini
C:\WINDOWS\system32\VGOqAJjl.ini
C:\WINDOWS\system32\VGOqAJjl.ini2
C:\WINDOWS\system32\wvGjmnnn.ini
C:\WINDOWS\system32\wvGjmnnn.ini2

.
(((((((((((((((((((((((   Dateien erstellt von 2008-04-20 bis 2008-05-20  ))))))))))))))))))))))))))))))
.

2008-05-20 14:05 . 2008-05-20 14:12	2,520	--a------	C:\WINDOWS\system32\tmp.reg
2008-05-20 13:57 . 2008-05-20 13:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lexware
2008-05-20 12:24 . 2008-05-20 12:24	<DIR>	d--------	C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Lexware
2008-05-20 12:23 . 2008-01-28 12:49	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Jonas\Vorlagen
2008-05-20 12:23 . 2008-01-28 12:19	<DIR>	dr-------	C:\Dokumente und Einstellungen\Jonas\Startmen
2008-05-20 12:23 . 2008-01-28 12:19	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Jonas\Netzwerkumgebung
2008-05-20 12:23 . 2008-05-20 13:29	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen
2008-05-20 12:23 . 2008-05-20 12:23	<DIR>	dr-------	C:\Dokumente und Einstellungen\Jonas\Favoriten
2008-05-20 12:23 . 2008-05-20 13:31	<DIR>	dr-------	C:\Dokumente und Einstellungen\Jonas\Eigene Dateien
2008-05-20 12:23 . 2008-01-28 12:19	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Jonas\Druckumgebung
2008-05-20 12:23 . 2008-05-20 12:26	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten
2008-05-20 12:23 . 2008-05-20 13:57	<DIR>	d--------	C:\Dokumente und Einstellungen\Jonas
2008-05-20 12:23 . 2008-05-20 14:18	1,024	--ah-----	C:\Dokumente und Einstellungen\Jonas\ntuser.dat.LOG
2008-05-20 09:34 . 2008-05-20 09:34	<DIR>	d--------	C:\A. SCHNEIDENBACH
2008-05-19 15:04 . 2008-05-19 15:04	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-19 13:08 . 2008-05-19 13:08	<DIR>	d--------	C:\Programme\Avira
2008-05-19 13:08 . 2008-05-19 13:08	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-19 07:57 . 2008-05-19 07:57	90,752	--a------	C:\WINDOWS\system32\rnaxtosn.dll
2008-05-16 13:47 . 2008-05-16 13:47	91,776	---------	C:\WINDOWS\system32\ffltnvaq.dll
2008-05-16 12:39 . 2008-05-19 12:59	318	--a------	C:\WINDOWS\wininit.ini
2008-05-16 11:54 . 2008-05-16 11:54	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-05-16 11:54 . 2008-05-16 12:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-16 10:54 . 2008-05-16 10:54	193	--a------	C:\WINDOWS\system32\bugsConfig.cfg
2008-05-16 10:36 . 2008-05-16 10:36	<DIR>	d--------	C:\!KillBox
2008-05-16 10:06 . 2008-05-20 14:17	<DIR>	d--------	C:\jonas
2008-05-16 07:30 . 2008-05-16 07:30	91,264	--a------	C:\WINDOWS\system32\cebcysvd.dll
2008-05-16 07:29 . 2008-05-16 07:29	<DIR>	d--------	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\TmpRecentIcons
2008-05-16 07:29 . 2008-05-20 07:27	0	--ah-----	C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-15 15:26 . 2008-05-16 10:48	160,256	--a------	C:\WINDOWS\system32\blackster.scr
2008-05-15 15:26 . 2008-05-15 03:48	135,168	--a------	C:\WINDOWS\epfg.exe
2008-05-15 15:26 . 2008-05-15 03:49	81,920	--a------	C:\WINDOWS\oadkxrts.exe
2008-05-15 10:45 . 2008-05-15 10:49	<DIR>	d--------	C:\Temp
2008-05-08 11:30 . 2008-05-08 11:30	<DIR>	d--------	C:\Programme\IGC
2008-05-08 11:30 . 2008-05-08 11:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Andreas\IGC
2008-05-08 11:30 . 2003-05-28 12:19	245,408	-r-------	C:\WINDOWS\system32\unicows.dll
2008-05-08 10:55 . 2008-05-08 10:55	1,115,704	--a------	C:\WINDOWS\system32\O2CPlayer.OCX
2008-05-08 10:52 . 2008-05-08 10:52	<DIR>	d--------	C:\WINDOWS\planTEK
2008-05-08 10:52 . 2008-05-08 10:55	<DIR>	d--------	C:\Programme\ArCon
2008-05-08 10:52 . 1996-01-12 01:00	722,192	--a------	C:\WINDOWS\system32\VB40032.DLL
2008-05-08 10:52 . 1998-06-24 01:00	525,352	--a------	C:\WINDOWS\system32\DBGRID32.OCX
2008-05-08 10:52 . 2001-04-06 12:42	323,584	--a------	C:\WINDOWS\system32\AcShlExt.dll
2008-05-08 10:52 . 2000-05-22 01:00	244,416	--a------	C:\WINDOWS\system32\MSFLXGRD.OCX
2008-05-08 10:52 . 1995-09-24 12:02	243,472	--a------	C:\WINDOWS\system32\vbar2232.dll
2008-05-08 10:52 . 1998-06-24 01:00	200,496	--a------	C:\WINDOWS\system32\DBLIST32.OCX
2008-05-08 10:52 . 1998-06-24 01:00	164,144	--a------	C:\WINDOWS\system32\COMCT232.OCX
2008-05-08 10:52 . 2000-05-22 01:00	140,488	--a------	C:\WINDOWS\system32\COMDLG32.OCX
2008-05-08 10:52 . 1997-02-26 01:00	99,134	--a------	C:\WINDOWS\system32\VB5DE.DLL
2008-05-06 14:54 . 2008-05-06 14:55	<DIR>	d--------	C:\Programme\Google
2008-05-06 14:54 . 2008-05-20 09:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 12:11	---------	d-----w	C:\Programme\OPTIGEM1
2008-05-09 07:12	---------	d-----w	C:\Programme\FreePDF_XP
2008-05-08 09:30	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-05-06 14:03	---------	d-----w	C:\Programme\Profi cash
2008-03-28 07:31	---------	d-----w	C:\Programme\Grips
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
2008-03-20 09:20	---------	d-----w	C:\Programme\SoftLevel
2008-03-20 09:15	---------	d-----w	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\SoftLevel
2008-03-20 08:03	1,845,376	----a-w	C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50	282,624	----a-w	C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33	45,568	----a-w	C:\WINDOWS\system32\dnsrslvr.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E}]
			C:\WINDOWS\system32\pmnlmkHX.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5753B631-0FBA-4425-A481-8A9BAA143122}]
			C:\WINDOWS\system32\ljJCsqQg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BED9844F-9E6B-4399-868F-941040738630}]
			C:\WINDOWS\system32\ljJAqOGV.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E26A3A-80E0-4467-B116-4F0DC4441C4A}]
			C:\WINDOWS\fvowketqxfo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F24B1126-27A6-4FF4-B6FF-421DC14C31E2}]
			C:\WINDOWS\system32\nnnmjGvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{755F70ED-8112-4AEA-B77B-E11296C79DA7}"= "C:\WINDOWS\pvnsmfor.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{755f70ed-8112-4aea-b77b-e11296c79da7}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{4DF01EBE-8007-450D-811C-2E1DD5923664}]
[HKEY_CLASSES_ROOT\pvnsmfor]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-04-29 14:55 90112]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 14:59 532776]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-15 08:25 363008]
"VTTimer"="VTTimer.exe" [2006-08-04 01:53 53248 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2006-07-11 13:33 176128 C:\WINDOWS\system32\S3Trayp.exe]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-01-06 18:33 131584]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"vspdfprsrv.exe"="C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 07:58 998912]
"1ca9684a"="C:\WINDOWS\system32\rnaxtosn.dll" [2008-05-19 07:57 90752]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E}"= C:\WINDOWS\system32\pmnlmkHX.dll [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbksrofa"= {79692599-6B4E-4C05-8926-F592B74C09BD} - C:\WINDOWS\vbksrofa.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnlmkHX]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Cwr85.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jjJ62.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mhH88.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mmc28.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ojo33.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\uaP33.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yeT22.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yyy14.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SoftLevel\\BonusWWS\\BonusWWS.exe"=
"C:\\Programme\\SoftLevel\\BonusWWS\\SIUS.EXE"=

R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2006-09-12 21:43]
S0 Cwr85;Cwr85;C:\WINDOWS\system32\Drivers\Cwr85.sys []
S0 jjJ62;jjJ62;C:\WINDOWS\system32\Drivers\jjJ62.sys []
S0 mhH88;mhH88;C:\WINDOWS\system32\Drivers\mhH88.sys []
S0 Mmc28;Mmc28;C:\WINDOWS\system32\Drivers\Mmc28.sys []
S0 Ojo33;Ojo33;C:\WINDOWS\system32\Drivers\Ojo33.sys []
S0 uaP33;uaP33;C:\WINDOWS\system32\Drivers\uaP33.sys []
S0 yeT22;yeT22;C:\WINDOWS\system32\Drivers\yeT22.sys []
S0 Yyy14;Yyy14;C:\WINDOWS\system32\Drivers\Yyy14.sys []
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-11-08 04:20]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 14:22:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 14:27:36 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-20 12:27:32

              11 Verzeichnis(se), 151,085,846,528 Bytes frei
              13 Verzeichnis(se), 151,120,134,144 Bytes frei

196	--- E O F ---	2008-05-14 06:01:19
__________________
tech-checker

Schaut ma auf www.jonas-keidel.de!!!
Alt 20.05.2008, 14:53   #2
tech-checker
 
Spyware Problem!!!! - Standard

Spyware Problem!!!!


silent runners
Code:
ATTFilter
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"vptray" = "C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" ["Symantec Corporation"]
"LexwareInfoService" = "C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart" [null data]
"AsusStartupHelp" = "C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [null data]
"VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."]
"S3Trayp" = "S3trayp.exe" ["S3 Graphics Co., Ltd."]
"FreePDF Assistant" = "C:\Programme\FreePDF_XP\fpassist.exe" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"vspdfprsrv.exe" = "C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background" ["Visagesoft"]
"1ca9684a" = "rundll32.exe "C:\WINDOWS\system32\rnaxtosn.dll",b" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\pmnlmkHX.dll" [file not found]
{5753B631-0FBA-4425-A481-8A9BAA143122}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\ljJCsqQg.dll" [file not found]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Google Toolbar Helper"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
                   \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]
{BED9844F-9E6B-4399-868F-941040738630}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\ljJAqOGV.dll" [file not found]
{D4E26A3A-80E0-4467-B116-4F0DC4441C4A}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "QXK Rhythm"
                   \InProcServer32\(Default) = "C:\WINDOWS\fvowketqxfo.dll" [file not found]
{F24B1126-27A6-4FF4-B6FF-421DC14C31E2}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nnnmjGvw.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
  -> {HKLM...CLSID} = "VpshellEx Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{BB7DF450-F119-11CD-8465-00AA00425D90}" = "Microsoft Access Custom Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\OPTIGEM\Office\soa800.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{4F2194FF-4E9C-4948-A5FB-E5D7A05AAB9E}" = "*b" (unwritable string)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\pmnlmkHX.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"vbksrofa" = "{79692599-6B4E-4C05-8926-F592B74C09BD}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\vbksrofa.dll" [file not found]
"mpfanvqg" = "{1888CA45-200D-4EBF-BB1A-56F4C430BB3A}"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\mpfanvqg.dll" [null data]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\ljJAqOGV"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"
  -> {HKLM...CLSID} = "VpshellEx Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"
  -> {HKLM...CLSID} = "VpshellEx Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                   \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableTaskMgr" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Administrator" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Zahlungserinnerung" -> shortcut to: "C:\Programme\Profi cash\wzed.exe" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
  -> {HKLM...CLSID} = "&Google"
                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
"{755F70ED-8112-4AEA-B77B-E11296C79DA7}" = (no title provided)
  -> {HKLM...CLSID} = "pvnsmfor"
                   \InProcServer32\(Default) = "C:\WINDOWS\pvnsmfor.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
DefWatch, DefWatch, "C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe" ["Symantec Corporation"]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
Symantec AntiVirus Client, Norton AntiVirus Server, "C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe" ["Symantec Corporation"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
CPCA Language Monitor2\Driver = "AUCPLMNT.DLL" ["CANON INC."]
Redirected Port\Driver = "redmonnt.dll" [null data]
VSP1:\Driver = "vsmon1.dll" [null data]


---------- (launch time: 2008-05-20 14:03:48)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 53 seconds, including 11 seconds for message boxes)
smidfraudfix
Code:
ATTFilter
SmitFraudFix v2.320

Scan done at 14:12:12,62, 20.05.2008
Run from C:\jonas\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\mpfanvqg.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C012F816-1EF2-4E17-8708-1ED8CC5C9E12}: DhcpNameServer=192.168.40.251
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C012F816-1EF2-4E17-8708-1ED8CC5C9E12}: DhcpNameServer=192.168.40.251
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C012F816-1EF2-4E17-8708-1ED8CC5C9E12}: DhcpNameServer=192.168.40.251
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.40.251
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.40.251
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.40.251


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
der beschriebene fehler ist nicht mehr aufgetreten!!!
__________________

__________________
Alt 20.05.2008, 15:26   #3
undoreal
/// AVZ-Toolkit Guru
 
Spyware Problem!!!! - Standard

Spyware Problem!!!!


Nutzt du eigentlich zwei AntiViren Programme? Die behindern sich gegenseitig! Deinstalliere Symantec/Norton und lasse danach das removal Tool laufen.

Hast du ein Remote Administration Tool auf deinem Rechner am laufen??



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ffltnvaq.dll
C:\WINDOWS\system32\bugsConfig.cfg
C:\WINDOWS\system32\cebcysvd.dll
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\epfg.exe
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\system32\O2CPlayer.OCX
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\system32\pmnlmkHX.dll
C:\WINDOWS\system32\ljJCsqQg.dll
C:\WINDOWS\system32\ljJAqOGV.dll
C:\WINDOWS\fvowketqxfo.dll
C:\WINDOWS\system32\nnnmjGvw.dll
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\system32\pmnlmkHX.dll
C:\WINDOWS\vbksrofa.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\rnaxtosn.dll
C:\WINDOWS\system32\VB40032.DLL
C:\WINDOWS\system32\DBLIST32.OCX
C:\WINDOWS\system32\VB5DE.DLL
C:\WINDOWS\system32\mswstr10.dll
C:\WINDOWS\system32\msjint40.dll
C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
C:\Programme\Profi cash\wzed.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Durchsuche deinen Rechner bitte wie in meiner Sigantur beschrieben wird nach folgenden Dateien:
pmnlmkHX , Cwr85.sys , WinCtrl32 , jjJ62.sys , mhH88.sys , Mmc28.sys , Ojo33.sys , uaP33.sys , yeT22.sys , Yyy14.sys , sessmgr.exe , BonusWWS.exe , SIUS.EXE ,
Poste bitte was und wo gefunden wurd. Die kompletten Dateipfade sind wichtig.


Fahre danach mit den Schritten 7-12 fort.
__________________
__________________
Antwort

Themen zu Spyware Problem!!!!
adobe, antivir, antivirus, avg, avira, bho, danger, dateien, desktop, expert pdf, google, hijack, hkus\s-1-5-18, internet, lexware, microsoft, object, privacy protection, problem, programme, rundll, server, software, spyware, symantec, system, windows, windows xp, winlogon


« mein hijackthis logfile | Bitte HJT log anschauen »


Ähnliche Themen: Spyware Problem!!!!


  1. Problem mit Spyware etc.
    Log-Analyse und Auswertung - 21.01.2010 (1)
  2. Spyware Problem!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (14)
  3. Spyware problem - Hijackthislogfile
    Log-Analyse und Auswertung - 23.05.2008 (1)
  4. Spyware Problem!
    Log-Analyse und Auswertung - 08.05.2008 (43)
  5. Malware/Spyware problem
    Log-Analyse und Auswertung - 04.12.2007 (4)
  6. Problem mit spyware
    Log-Analyse und Auswertung - 27.08.2007 (2)
  7. habe ich da ein spyware Problem
    Mülltonne - 12.03.2007 (6)
  8. Spyware Problem
    Plagegeister aller Art und deren Bekämpfung - 12.07.2006 (6)
  9. Problem mit spyware
    Log-Analyse und Auswertung - 29.06.2006 (1)
  10. Problem mit Spyware :(
    Plagegeister aller Art und deren Bekämpfung - 14.04.2006 (9)
  11. problem mit spyware quake 2.0
    Plagegeister aller Art und deren Bekämpfung - 02.04.2006 (1)
  12. Spyware + Inetconnetions-Problem
    Plagegeister aller Art und deren Bekämpfung - 07.01.2006 (1)
  13. Problem mit Spyware und Trojaner
    Log-Analyse und Auswertung - 28.12.2005 (6)
  14. Problem mit Spyware
    Plagegeister aller Art und deren Bekämpfung - 19.12.2005 (13)
  15. Spyware Problem
    Log-Analyse und Auswertung - 02.08.2005 (3)
  16. Problem mit Spyware und Werbung
    Log-Analyse und Auswertung - 14.07.2005 (5)
  17. problem mit spyware
    Plagegeister aller Art und deren Bekämpfung - 25.03.2005 (12)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Spyware Problem!!!! - so... erst mal ein ganz großes danke für deine hilfe!!! ich hab nicht alle scans gemacht...hatte keinezeit dazu... aber ich geb dir von jedem scan den ich gemacht hab. blacklight - Spyware Problem!!!!...
Archiv
Du betrachtest: Spyware Problem!!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55