Trojaner - einfach nicht zu löschen...

arsitocat69 · 10.07.2008, 00:19

Hallo, bin hier neu weil ich ein dickes Problem habe.

Habe einen Trojaner, der sich nicht löschen läßt. er sitzt in einer dll: wvUoNHbX.dllin c:\WINDOWS\system32. Diese .dll- datei gibts nicht bei google und bei microsoft auch nicht. komischerweise greift aber winlogon.exe gleich zweimal drauf zu. also kann ich sie weder löschen noch umbenennen...

Trustport Antivirus erkent diesen: Zlob.BTMP, verschiebt ih auch in Quarantäne, der On-Access-Scanner meldet ihn aber alle 5 sekunden neu, so daß die Quarantäne nach 5 minuten 1.000 (oder so) Einträge hat. Wenn das Programm ihn löscht ist er trotzdem noch in c:\WINDOWS\system32 zu finden...

Ich habe gegoogelt, den Scanner gewechselt (Avira AntiVir, Avert Stinger, Kaspersky etc. - einige haben ihn garnicht erkannt), im abgesicherten modus hochgefahren und komm nicht weiter.

HighJack-this ahbe ich auch probiert, aber das ist für mich Chinesich... noob halt. Ich poste unten die log-datei.

Natürlich habe ich versucht winlogon.exe im Prozeßmanager auszuschalten, damit ich die .dll freikriege. und für den, der es außer mir noch nicht wußte: Scheißidee... abruptes, blaues Ende.

Hilfe wär einfach grandios!! :aplaus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58:43, on 09.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Aqua Dock\Aqua Dock.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TrustPort Antivirus\bin\avcom.exe
C:\Programme\Gemeinsame Dateien\TrustPort\bin\tptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\TrustPort Antivirus\bin\avmgma.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TrustPort Antivirus\bin\avss.exe
C:\Programme\TrustPort Antivirus\bin\gozer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\TrustPort Antivirus\bin\avc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [Aqua Dock] C:\Programme\Aqua Dock\Aqua Dock.exe

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [b0235e80] rundll32.exe "C:\WINDOWS\system32\rpfxfqyx.dll",b

O4 - HKLM\..\Run: [AntivirusCommunicatorAgent] "C:\Programme\TrustPort Antivirus\bin\avcom.exe"

O4 - HKLM\..\Run: [TrustPortTray] "C:\Programme\Gemeinsame Dateien\TrustPort\bin\tptray.exe"

O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-436374069-790525478-725345543-1003\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194905660796

O17 - HKLM\System\CCS\Services\Tcpip\..\{69D60B8B-AEA2-48C7-B63C-D15154D86A32}: NameServer = 192.168.178.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O21 - SSODL: RunSrv - {2e7dff17-a48b-4bab-8008-aeb421351a8d} - C:\WINDOWS\Resources\RunSrv.dll (file missing)

O21 - SSODL: ServiceRom - {9f3f91ba-b520-4ad9-9ee6-9d98916c8fbb} - C:\WINDOWS\Resources\ServiceRom.dll (file missing)

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: TrustPort Antivirus On-Access Scanner Agent (avas_service) - TrustPort, a.s. - C:\Programme\TrustPort Antivirus\bin\avas.exe

O23 - Service: TrustPort Antivirus Management Agent (avmgma_service) - TrustPort, a.s. - C:\Programme\TrustPort Antivirus\bin\avmgma.exe

O23 - Service: TrustPort Antivirus Service Scanner Provider (avss_service) - TrustPort, a.s. - C:\Programme\TrustPort Antivirus\bin\avss.exe

O23 - Service: TrustPort Personal GTW (gozer) - TrustPort, a.s. - C:\Programme\TrustPort Antivirus\bin\gozer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TrustPort Antivirus DrWeb scanner service (tpavdrw_service) - Doctor Web, Ltd. - C:\Programme\TrustPort Antivirus\engines\drweb\dwengine.exe

--
End of file - 9436 bytes

BataAlexander · 10.07.2008, 00:25

Lass bitte einmal Malwarebytes wie beschrieben laufen und poste das Logfile hier.

arsitocat69 · 10.07.2008, 01:24

Das sieht ganz gut aus. Bzw. schlecht, was da alles drauf war... unglaublcih. gutes programm! hier die log-datei.

werd gelcih neustarten und schaun ob der weg ist (dll).

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 935
Windows 5.1.2600 Service Pack 2

02:21:39 10.07.2008
mbam-log-7-10-2008 (02-21-39).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 97333
Scan Dauer: 8 minute(s), 28 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 18

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\rpfxfqyx.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUoNHbX.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\yayxxwtR.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2d1ac226-4061-48eb-a0cb-f410a9a4d794} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{33da9e3c-935e-4ec2-977d-afe3a3b5e727} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuonhbx (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2d1ac226-4061-48eb-a0cb-f410a9a4d794} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33da9e3c-935e-4ec2-977d-afe3a3b5e727} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\emule (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{33da9e3c-935e-4ec2-977d-afe3a3b5e727} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b0235e80 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\TWUNK_16.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\yayxxwtr -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\yayxxwtr -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\778670 (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXE389EJ\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\nico\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\eMule\uninstall.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rtwxxyay.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rtwxxyay.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TWUNK_16.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwvplmhn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nhmlpvwi.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nhmlpvwi.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rpfxfqyx.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\wvUoNHbX.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xyqfxfpr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yayxxwtR.dll (Trojan.Vundo) -> Delete on reboot.

BataAlexander · 10.07.2008, 01:30

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

arsitocat69 · 10.07.2008, 01:40

Hoffe das ist richtig so:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\

10.07.2008 02:26 45 TEST.XML
10.07.2008 02:26 2.145.386.496 pagefile.sys

10 Datei(en) 2.145.690.452 Bytes
0 Verzeichnis(se), 65.861.488.640 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\WINDOWS\system32

10.07.2008 02:26 374.161 oodbs.lor
10.07.2008 02:25 149.376 Rtwxxyay.ini
10.07.2008 02:24 149.376 Rtwxxyay.ini2
10.07.2008 02:21 318.720 yayxxwtR.dll
10.07.2008 02:21 28.288 wvUoNHbX.dll
10.07.2008 02:21 88.576 rpfxfqyx.dll
09.07.2008 15:21 400.600 perfh009.dat
09.07.2008 15:21 415.106 perfh007.dat
09.07.2008 15:21 60.760 perfc009.dat
09.07.2008 15:21 73.698 perfc007.dat
09.07.2008 15:12 1.527.952 FNTCACHE.DAT
09.07.2008 03:43 0 bb009afe-.txt
08.07.2008 19:28 143 mcrh.tmp
08.07.2008 03:45 1.700.899 nhmlpvwi.tmp
07.07.2008 21:30 1.700.839 xeixjrcs.ini
07.07.2008 21:13 206 caabbbabf4_z.dll
07.07.2008 21:13 206 dbbdbb1_z.ocx
05.07.2008 16:16 2.206 wpa.dbl
01.06.2008 10:51 6.264 jupdate-1.6.0_05-b13.log

2315 Datei(en) 567.246.780 Bytes
0 Verzeichnis(se), 65.861.345.280 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\WINDOWS\Prefetch

10.07.2008 02:36 11.888 FIND.EXE-0EC32F1E.pf
10.07.2008 02:36 13.056 CMD.EXE-087B4001.pf
10.07.2008 02:36 34.202 WINRAR.EXE-3588DFE8.pf
10.07.2008 02:30 44.316 OFFLB.EXE-03A7C203.pf
10.07.2008 02:30 199.558 OUTLOOK.EXE-34D715FD.pf
10.07.2008 02:29 198.112 FIREFOX.EXE-1D57670A.pf
10.07.2008 02:28 51.594 DWENGINE.EXE-3713B55E.pf
10.07.2008 02:28 146.760 AVC.EXE-2ED29114.pf
10.07.2008 02:28 112.862 MBAM.EXE-11D8BBD8.pf
10.07.2008 02:28 77.894 NOTEPAD.EXE-336351A9.pf
10.07.2008 02:28 24.832 VERCLSID.EXE-3667BD89.pf
10.07.2008 02:27 68.460 SVCHOST.EXE-3530F672.pf
10.07.2008 02:27 1.961.550 NTOSBOOT-B00DFAAD.pf
10.07.2008 02:25 21.172 LOGONUI.EXE-0AF22957.pf
10.07.2008 02:21 15.908 REGEDIT.EXE-1B606482.pf
10.07.2008 02:04 3.558 SSNETLIB.WIN-106C7BA2.pf
10.07.2008 02:04 2.444 INIT.EXE-2FA14782.pf
10.07.2008 02:03 36.168 LUX.EXE-247F74DC.pf
10.07.2008 01:54 25.824 REGSVR32.EXE-25EEFE2F.pf
10.07.2008 01:54 25.590 MBAM-SETUP.TMP-2EDFC6F5.pf
10.07.2008 01:54 68.356 MBAM-SETUP.EXE-06AA6161.pf
10.07.2008 00:51 70.814 ACDSEEQVPRO2.EXE-03D252F4.pf
10.07.2008 00:49 9.036 AVSVC.EXE-0E235456.pf
10.07.2008 00:49 28.768 AVAS.EXE-0E46321B.pf
10.07.2008 00:49 64.570 TPCFG.EXE-3974A172.pf
10.07.2008 00:49 36.794 AVUPDATER.EXE-2C0A0EAB.pf
10.07.2008 00:47 93.466 UNLOCKER.EXE-2F8FAED1.pf
10.07.2008 00:46 125.338 TASKMGR.EXE-20256C55.pf
10.07.2008 00:30 20.500 RUNDLL32.EXE-3DC7E72E.pf
09.07.2008 23:23 50.656 JV16PT.EXE-2C2A84A6.pf
09.07.2008 23:18 28.428 WMIPRVSE.EXE-28F301A9.pf
09.07.2008 23:18 33.846 RUNDLL32.EXE-44A0B4BC.pf
09.07.2008 23:17 18.970 A~NSISU_.EXE-00390F73.pf
09.07.2008 23:17 17.066 UNINST.EXE-10D8DD3D.pf
09.07.2008 23:13 47.404 DRWTSN32.EXE-2B4B52AC.pf
09.07.2008 23:12 15.980 UNLOCKERASSISTANT.EXE-2960B8DF.pf
09.07.2008 23:11 25.226 EBAY_SHORTCUTS_1016.EXE-2609E243.pf
09.07.2008 23:11 21.590 UNLOCKER1.8.7.EXE-2A78286D.pf
09.07.2008 18:53 792.986 Layout.ini
09.07.2008 18:01 72.798 HIJACKTHIS.EXE-39024128.pf
09.07.2008 17:57 20.178 ALG.EXE-0F138680.pf
09.07.2008 17:01 6.796 CRASHREPORTER.EXE-38DC7BD9.pf
09.07.2008 17:01 56.408 DISKDOCTOR.EXE-0F7C3625.pf
09.07.2008 17:01 60.516 INTEGRATOR.EXE-3967D297.pf
09.07.2008 17:00 12.702 NET.EXE-01A53C2F.pf
09.07.2008 17:00 14.778 NET1.EXE-029B9DB4.pf
09.07.2008 17:00 20.400 HJTINSTALL.EXE-26557AAB.pf
09.07.2008 17:00 73.502 DWWIN.EXE-30875ADC.pf
09.07.2008 16:48 35.094 MSCONFIG.EXE-35E4DAE9.pf
09.07.2008 16:46 78.788 NTVDM.EXE-1A10A423.pf
09.07.2008 15:28 178.824 SNDVOL32.EXE-383480B7.pf
09.07.2008 15:18 16.416 SEARCHFILTERHOST.EXE-148579FB.pf
09.07.2008 15:16 40.910 SEARCHPROTOCOLHOST.EXE-34E0253A.pf
09.07.2008 15:13 17.600 IMAPI.EXE-0BF740A4.pf
09.07.2008 15:13 191.058 MSIEXEC.EXE-2F8A8CAE.pf
09.07.2008 15:13 26.684 RUNDLL32.EXE-35A483DA.pf
09.07.2008 15:10 76.340 IEXPLORE.EXE-2CA9778D.pf
09.07.2008 15:00 65.812 UTORRENT.EXE-393CAE21.pf
09.07.2008 14:57 57.720 FNPLICENSINGSERVICE.EXE-1A968544.pf
09.07.2008 14:38 84.738 RUNDLL32.EXE-13404D23.pf
09.07.2008 14:38 95.490 ACRODIST.EXE-31C6F71B.pf
09.07.2008 14:38 14.588 IPODSERVICE.EXE-233792DA.pf
09.07.2008 14:09 98.992 REGISTRYCLEANER.EXE-17B6D63B.pf
08.07.2008 23:26 44.470 AVWSC.EXE-3AC95876.pf
08.07.2008 23:00 110.314 ITUNES.EXE-15E88941.pf
08.07.2008 22:47 113.320 SEARCHINDEXER.EXE-1AD3307F.pf
08.07.2008 21:58 66.556 UPDATE.EXE-3A80F1D2.pf
08.07.2008 21:58 18.362 PREUPD.EXE-18CBCD87.pf
07.07.2008 21:30 24.800 WUAUCLT.EXE-399A8E72.pf
69 Datei(en) 6.440.496 Bytes
0 Verzeichnis(se), 65.861.357.568 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\WINDOWS

10.07.2008 02:35 1.775.602 WindowsUpdate.log
10.07.2008 02:27 0 0.log
10.07.2008 02:27 50 wiaservc.log
10.07.2008 02:27 159 wiadebug.log
10.07.2008 02:26 54.156 QTFont.qfn
10.07.2008 02:26 2.048 bootstat.dat
10.07.2008 02:25 32.636 SchedLgU.Txt
09.07.2008 15:21 6.570 iis6.log
09.07.2008 15:21 1.232 ntdtcsetup.log
09.07.2008 15:21 2.027 comsetup.log
09.07.2008 15:21 2.821 tsoc.log
09.07.2008 15:21 311 tabletoc.log
09.07.2008 15:21 1.355 imsins.log
09.07.2008 15:21 342 ocmsn.log
09.07.2008 15:21 27.568 KB917013Uninst.log
09.07.2008 15:21 425 MedCtrOC.log
09.07.2008 15:21 2.916 ocgen.log
09.07.2008 15:21 1.083 netfxocm.log
09.07.2008 15:21 309 msgsocm.log
09.07.2008 15:21 6.182 FaxSetup.log
09.07.2008 15:21 1.848 msmqinst.log
09.07.2008 15:21 0 setupact.log
09.07.2008 15:00 69 NeroDigital.ini
09.07.2008 12:15 99.366 ntbtlog.txt

92 Datei(en) 40.380.495 Bytes
0 Verzeichnis(se), 65.861.345.280 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\WINDOWS\tasks

10.07.2008 02:26 6 SA.DAT
04.07.2008 17:15 394 1-Klick-Wartung.job

3 Datei(en) 465 Bytes
0 Verzeichnis(se), 65.861.349.376 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\WINDOWS\temp

10.07.2008 02:27 85.728.396 nvcbin.def.2E8DEF5B.TMP
09.07.2008 14:57 11.128 libFNP_events.log
09.07.2008 01:58 16.384 Perflib_Perfdata_132c.dat
08.07.2008 15:38 8.192 cch~5773117237.htp
08.07.2008 15:38 8.192 cch~57731d2926.htp
08.07.2008 12:50 8.192 cch~a2eb5848c000.htp
08.07.2008 12:50 8.192 cch~a2eb585e3371.htp
08.07.2008 10:52 8.192 cch~9363ec2daa16.htp
08.07.2008 10:52 8.192 cch~9363ec3bd285.htp
08.07.2008 10:38 8.192 cch~9195b963901b.htp
08.07.2008 10:38 8.192 cch~9195b97bcab0.htp
08.07.2008 10:37 8.192 cch~916ea8ba27bf.htp
08.07.2008 10:37 8.192 cch~916ea8c7f6c7.htp
08.07.2008 10:36 8.192 cch~9159a8c6b3bd.htp
08.07.2008 10:36 8.192 cch~9159a8d50e72.htp
08.07.2008 07:39 8.192 cch~7a2ff09024a3.htp
08.07.2008 07:39 8.192 cch~7a2ff0765adb.htp
03.07.2008 09:46 127 D653F3EC.TMP
02.07.2008 12:51 65.614 libFNP_events.log.bak

20 Datei(en) 85.941.349 Bytes
0 Verzeichnis(se), 65.861.349.376 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B023-5E2F

Verzeichnis von C:\DOKUME~1\nico\LOKALE~1\Temp

10.07.2008 02:36 125.388 filelist.txt
10.07.2008 02:31 52.116 jusched.log
09.07.2008 23:08 243.204 YjOZtIc9.exe.part
09.07.2008 16:58 114.688 ~DFD2BF.tmp
09.07.2008 15:10 714 MSIed908.LOG
09.07.2008 15:10 136 adb419.tmp
09.07.2008 15:04 13.354 libFNP_events.log
09.07.2008 14:59 5.537 {AC76BA86-1033-F400-7760-000000000003}.ini
09.07.2008 14:45 110.036 {5463A8F2-D5C6-43B3-A8A9-92422E6CD47D}CS3_ribs_designpremium.png
09.07.2008 14:45 61.540 {5463A8F2-D5C6-43B3-A8A9-92422E6CD47D}designpremium_install_pkg_rev.ico
09.07.2008 02:05 16.384 Perflib_Perfdata_90c.dat
09.07.2008 02:02 22.902 amt.log
09.07.2008 02:02 192.494 alm.log
09.07.2008 02:00 114.688 ~DFDE44.tmp
09.07.2008 01:59 114.688 ~DF2ADC.tmp
09.07.2008 01:55 114.688 ~DFDBC0.tmp
08.07.2008 22:18 16.384 ~DF4F01.tmp
08.07.2008 22:03 512 ~DF1E5.tmp
08.07.2008 22:02 24.576 Cara%20Hoffmann.doc
08.07.2008 20:12 125.811 caevents.log
08.07.2008 15:37 0 utt5.tmp
08.07.2008 15:33 219.952 utt1BE.tmp.exe
08.07.2008 15:33 0 utt1BE.tmp
08.07.2008 15:31 219.952 utt1BD.tmp.exe
08.07.2008 15:31 0 utt1BD.tmp
07.07.2008 23:07 0 NER174.tmp
07.07.2008 23:06 0 TempCover2
07.07.2008 21:23 1.305 jv16_PowerTools_2008_1.8.0.460 [mininova].torrent
07.07.2008 21:23 42 atmadm2.exe.bat
07.07.2008 21:23 43 bindsrv2.exe.bat
07.07.2008 21:22 43 software.php.bat
07.07.2008 21:19 0 software.php
07.07.2008 21:19 0 smcheck.exe
07.07.2008 21:18 42 smcheck.exe.bat
07.07.2008 21:16 42 lwpower.exe.bat
07.07.2008 21:15 40 dssec.exe.bat
07.07.2008 20:45 20.690 The CUBE Trilogy [mininova].torrent
07.07.2008 20:41 56.996 Meet the Spartans[2008]DvDrip[Eng]-FXG [mininova].torrent
07.07.2008 20:40 28.814 Hero.Wanted.2008.DvDRip.Eng-FxM [mininova].torrent
07.07.2008 20:39 14.409 Sex and the City (2008) TS Occor.avi [mininova].torrent
07.07.2008 20:39 56.729 Step.Up.2-The.Streets[2008]DvDrip-aXXo [mininova].torrent
07.07.2008 20:39 56.693 Pathology[2008]DvDrip-aXXo [mininova].torrent
07.07.2008 20:38 20.514 10000 BC[2008][ENG][AC3 5.1][WS][DVDRip]-FLAWL3SS [mininova].torrent
07.07.2008 20:33 1.838 [isoHunt] Serial_Box_07.2008.sb2.zip.4271085.TPB.torrent
07.07.2008 20:29 180.583 Mac_os_x_10.5_.cdr_ppc_intel_leopard.torrent
07.07.2008 20:28 180.583 Mac_os_x_10.5_.cdr_ppc_intel_leopard[www.btmon.com].torrent
07.07.2008 20:27 179.603 Mac_os_x_10.5_.cdr__ppc_intel_leopard.3774710.TPB.torrent
06.07.2008 05:47 127 D653F3EC.TMP
05.07.2008 16:17 16.384 ~DF9096.tmp
04.07.2008 17:26 16.384 ~DF1060.tmp
02.07.2008 13:10 896 TWAIN.LOG
02.07.2008 13:10 3 Twain001.Mtx
02.07.2008 13:10 156 Twunk001.MTX
02.07.2008 12:55 65.624 libFNP_events.log.bak

61 Datei(en) 3.143.328 Bytes
0 Verzeichnis(se), 65.861.345.280 Bytes frei

BataAlexander · 10.07.2008, 01:44

ich les schon wieder torrents. Hier kann Dir wirklich niemand helfen.
Unter C:\WINDOWS\system32 finden sich noch viele Schaddateien, aber für mich hört der Support hier auf.

arsitocat69 · 10.07.2008, 09:33

Muß wohl draus lernen... fliegt runter vom PC. so viel ist mal sicher...

arsitocat69 · 10.07.2008, 09:41

Sind das denn alles Schaddatein in C:\WINDOWS\system32 ? Hilfe wär toll. Wenn das aber nicht zu vereinbaren ist, dann muß ich wohl Windows platt machen. Wie anstrengend.

arsitocat69 · 10.07.2008, 11:23

Was meinst Du mit: " Hier kann Dir wirklich niemand helfen"?
Geht das um Prinzipien? Oder ist alles zu spät?
Bin bereits dabei den mist runterzuschmeißen. Habe auch keine Lust mehr auf den Quatsch. Soll ich nun den Thread schließen? Oder kann mir irgendjemand weiterhelfen?

Silent sharK · 10.07.2008, 11:35

Mach doch einfach eine Neuaufsetzung, falls du wieder einen vertrauenswürdigen Rechner willst, ich denke das war gemeint

10.07.2008, 00:25	#2
BataAlexander > MalwareDB	Trojaner - einfach nicht zu löschen... Lass bitte einmal Malwarebytes wie beschrieben laufen und poste das Logfile hier. __________________ __________________

10.07.2008, 01:44	#6
BataAlexander > MalwareDB	Trojaner - einfach nicht zu löschen... ich les schon wieder torrents. Hier kann Dir wirklich niemand helfen. Unter C:\WINDOWS\system32 finden sich noch viele Schaddateien, aber für mich hört der Support hier auf. __________________ --> Trojaner - einfach nicht zu löschen...

Trojaner - einfach nicht zu löschen...

Plagegeister aller Art und deren Bekämpfung: Trojaner - einfach nicht zu löschen...