Ungewollte Fenster öffnen sich; Int.-Explorer

dechniker · 14.07.2008, 11:32

Hallo,

ich bin neu hier im Forum und habe folgendes Problem:
Sobald ich mich Internet befinde öffnen sich seit kurzer Zeit ungewollte Fenster die irgend welche Art von Werbung enthalten. Gestern war eine teuschend echte Microsoft Windows Seite die auf Viren hinwies. Auch dies war aber nur Werbung. Ich habe keine Ahnung wo ich mir dies gengelt habe und geschweige denn wie ich diese lästigen Fenster wieder loswerde.

Vielen Dank schon einmal jetzt.

Ich hoffe der Anhang ist so OK.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:24, on 14.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\dokumente und einstellungen\andy\lokale einstellungen\anwendungsdaten\uwekwcw.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MA18HW1F\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.thiel-heizoel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [2pt60206] C:\WINDOWS\system32\2pt60206.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [uwekwcw] c:\dokumente und einstellungen\andy\lokale einstellungen\anwendungsdaten\uwekwcw.exe uwekwcw
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 8822 bytes

Vielen Dank.

Ich hoffe auf Hilfe Gruß Andy

nochdigger · 14.07.2008, 17:28

Hallo und

lass bitte diese Dateien

C:\WINDOWS\system32\2pt60206.exe
c:\dokumente und einstellungen\andy\lokale einstellungen\anwendungsdaten\uwekwcw.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Deaktiviere bitte vorübergehend den Hintergrundwächter (Guard) deines Antivirenprogramms.

Dann lade dir bitte Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Das ist ein Fehlalarm und kann ignoriert werden.

MFG

dechniker · 15.07.2008, 22:41

Hallo Nochdigger,

danke für Deine Antwort.
Ich habe versucht so gut es geht die Anleitung von Dir auszuführen. Die erste Datei konnte ich aber nicht finden.

Ich Du kommst damit weiter und kannst mir helfen.

Danke schon einmal vorab.

Gruss Dechniker

Datei: uwekwcw.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -
Bit9 rapportiert: {BIT9_THREAT}

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Heur.W32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Trojan.Packed.562 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Andy\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Andi\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ANNA-M~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ELISAB~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Simone\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Andi\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Simone\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Andy\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Andi\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ANNA-M~1\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ELISAB~1\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Simone\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No file found

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" *

Suspicious Files :

uwekwcw.exe found !
uwekwcw.dat found !
uwekwcw_nav.dat found !
uwekwcw_navps.dat found !

* Scan in "C:\DOKUME~1\Andi\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Simone\lokale~1\anwend~1" *

*** Search files ***

C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" :

uwekwcw.dat found !
uwekwcw_nav.dat found !
uwekwcw_navps.dat found !

* In "C:\DOKUME~1\Andi\lokale~1\anwend~1" :

* In "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" :

* In "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Simone\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 15.07.2008 at 23:35:52,23 ***

nochdigger · 16.07.2008, 04:27

Moin

lass bitte Navilog mit der Option 2 laufen

Rufe das Programm bitte erneut auf und wähle die Option 2
Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
Sollte der Rechner nicht neustarten, tue dies bitte manuell.
Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Anschließend lass bitte Malwarebytes dein System bereinigen, lass alles löschen was gefunden wird.
Poste bitte die Logs von Antimalware, Navilog sowie ein frisches HijackThis Log.

MFG

dechniker · 16.07.2008, 20:13

Hallo,

wieder einmal vielen Dank für die bisherige Hilfe. Hier die angeforderten Berichte:

1) Navilog

Navipromo Removal version 3.6.0 started on 16.07.2008 at 20:50:16,03

Fix running from C:\Programme\navilog1
Actual User Account : "Andy"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results

Cleanning stage done on Reboot

*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)

*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *

* Deletion in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" *

Other Deletions :

uwekwcw.exe found !
Copy uwekwcw.exe done !
uwekwcw.exe deleted !

uwekwcw.dat found !
Copy uwekwcw.dat done !
uwekwcw.dat deleted !

uwekwcw_nav.dat found !
Copy uwekwcw_nav.dat done !
uwekwcw_nav.dat deleted !

uwekwcw_navps.dat found !
Copy uwekwcw_navps.dat done !
uwekwcw_navps.dat deleted !

* Deletion in "C:\DOKUME~1\Andi\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *

* Deletion in "C:\DOKUME~1\Simone\lokale~1\anwend~1" *

*** Deleting folders in "C:\WINDOWS" ***

*** Deleting folders in "C:\Programme" ***

*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***

*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Andy\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\Andi\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ANNA-M~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ELISAB~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\Simone\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\Andi\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" ***

*** Deleting folders in "C:\DOKUME~1\Simone\lokale~1\anwend~1" ***

*** Deleting folders in "C:\Dokumente und Einstellungen\Andy\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\Andi\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\ANNA-M~1\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\ELISAB~1\startm~1\progra~1" ***

*** Deleting folders in "C:\DOKUME~1\Simone\startm~1\progra~1" ***

*** Deleting files ***

C:\WINDOWS\system32\nvs2.inf deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Andy\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :

* In "C:\WINDOWS\system32" *

* In "C:\Dokumente und Einstellungen\Andy\lokale~1\anwend~1" *

* In "C:\DOKUME~1\Andi\lokale~1\anwend~1" *

* In "C:\DOKUME~1\ANNA-M~1\lokale~1\anwend~1" *

* In "C:\DOKUME~1\ELISAB~1\lokale~1\anwend~1" *

* In "C:\DOKUME~1\Simone\lokale~1\anwend~1" *

*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned

*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Cleaning stage complete on 16.07.2008 at 20:53:25,76 ***

2) Malwarebytes'

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 960
Windows 5.1.2600 Service Pack 2

21:05:17 16.07.2008
mbam-log-7-16-2008 (21-04-48).txt

Scan Art: Schnell Scan
Objekte gescannt: 48679
Scan Dauer: 5 minute(s), 34 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{175816a5-219e-4079-b2f9-53c501c409ba} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{1c1793e0-1034-4cac-837d-aa545f6961bf} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5d16197a-1eaa-45af-b29a-69f1aa055e87} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8a61a950-c325-4f44-ba64-273180ff3464} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b53d4cd4-406d-43cc-8244-7893d72236dd} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b671426c-5c1a-48ac-9652-bc9402b1c404} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b9bb3219-f84c-4060-966b-4a1e73e24226} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f786cb18-3809-4e49-bc99-9a66da47db8b} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{71efe583-62fe-4419-9918-ca3b683f7b36} (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ide21201.vxd (Adware.Winad) -> No action taken.
C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp\cd1D.tmp (Heuristics.Malware) -> No action taken.
C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp\cd1D.tmp.exe (Heuristics.Malware) -> No action take

3)Hijackthis Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:48, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MA18HW1F\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.thiel-heizoel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [2pt60206] C:\WINDOWS\system32\2pt60206.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoCAD LT-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 8561 bytes

Vielen Dank,

Wie geht es weiter?

Sollte hiermit alles erledigt sein?

Gruß Dechniker

nochdigger · 16.07.2008, 20:52

Hallo

hast du alles gefundene mit Malwarebytes löschen lassen?

Lade dir bitte Avenger herunter
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\2pt60206.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Zitat:

Sollte hiermit alles erledigt sein?

Das wollen wir mal sehen...

Erstelle bitte eine Übersicht mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

dechniker · 20.07.2008, 20:48

Hallo,

vielen Dank für die Rückmeldung,

Ich muss schon sagen. Ich schlacker nur noch mit den Ohren. Ich kann bei alle dem was ich hier mache schon lange nicht mehr folgen. Es beeindruckt mich aber, dass es Experten gibt die sich hier auskennen.

Vielleicht kannst Du mir beim nächsten mal kurze Info geben, was wir hier gemacht haben.

Vielen Dank auf jeden Fall.

Gruss Dechniker

hier das Ergebniss von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\2pt60206.exe" not found!
Deletion of file "C:\WINDOWS\system32\2pt60206.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Verzeichnis von C:\

20.07.2008 21:32 502.849.536 hiberfil.sys
20.07.2008 21:32 754.974.720 pagefile.sys
20.07.2008 21:32 1.304 avenger.txt
16.07.2008 20:53 3.631 cleannavi.txt
15.07.2008 23:35 3.554 fixnavi.txt
04.06.2008 18:12 4.652 ffastun.ffa
04.06.2008 18:12 319.488 ffastun.ffo
04.06.2008 18:12 1.482.752 ffastun.ffl
04.06.2008 18:12 3.403.776 ffastun0.ffx

Verzeichnis von C:\WINDOWS\system32

20.07.2008 21:33 13.646 wpa.dbl
04.06.2008 18:12 20.740 FFASTLOG.TXT
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll
23.04.2008 22:16 3.591.680 mshtml.dll
23.04.2008 06:16 233.472 webcheck.dll
23.04.2008 06:16 826.368 wininet.dll

Verzeichnis von C:\WINDOWS\Prefetch

20.07.2008 21:35 11.232 FIND.EXE-0EC32F1E.pf
20.07.2008 21:35 11.952 CMD.EXE-087B4001.pf
20.07.2008 21:35 16.652 VERCLSID.EXE-3667BD89.pf
20.07.2008 21:34 24.642 WUAUCLT.EXE-399A8E72.pf
20.07.2008 21:34 30.558 AVWSC.EXE-2F6C3C95.pf
20.07.2008 21:34 80.176 SVCHOST.EXE-3530F672.pf
20.07.2008 21:34 1.171.184 NTOSBOOT-B00DFAAD.pf
20.07.2008 21:29 14.446 AVENGER.EXE-01AAD49F.pf
20.07.2008 21:28 51.800 JUCHECK.EXE-0645AA51.pf
20.07.2008 21:28 8.992 JAVA.EXE-0967259C.pf
20.07.2008 21:27 33.242 SCHED.EXE-236A886F.pf
20.07.2008 21:27 36.720 AVGNT.EXE-36CA4640.pf
20.07.2008 21:27 22.206 REGSVR32.EXE-25EEFE2F.pf
20.07.2008 21:27 50.002 AVGUARD.EXE-3490B18B.pf
20.07.2008 21:27 105.892 UPDATE.EXE-13D57D76.pf
20.07.2008 21:27 51.698 UPDATE.EXE-34D6E0CD.pf
20.07.2008 21:24 55.316 AVNOTIFY.EXE-22AE9451.pf
20.07.2008 10:19 52.518 LOGONUI.EXE-0AF22957.pf
20.07.2008 10:16 18.096 E_S10RN2.EXE-38983110.pf
20.07.2008 10:16 17.302 E_S10MT2.EXE-0E680929.pf
20.07.2008 10:16 43.092 E_DPPE03.EXE-14897805.pf
20.07.2008 10:14 64.062 ACRORD32.EXE-153330F0.pf
20.07.2008 10:13 81.222 IEXPLORE.EXE-2CA9778D.pf
20.07.2008 10:13 20.936 BWS.EXE-06F0B641.pf
20.07.2008 10:13 19.906 BCLIENT.DLL-1EDBBF2C.pf
20.07.2008 00:39 62.344 ACRORD32INFO.EXE-19D979CC.pf
20.07.2008 00:33 38.920 WINWORD.EXE-0AEA99D4.pf
20.07.2008 00:31 18.454 FSCAPTURE.EXE-0A1C6927.pf
20.07.2008 00:28 70.170 PDFCREATOR.EXE-372C0D54.pf
20.07.2008 00:28 30.382 PDFSPO~1.EXE-311A8C48.pf
20.07.2008 00:27 12.174 RUNDLL32.EXE-268BFF96.pf
20.07.2008 00:00 64.956 EXPLORER.EXE-082F38A9.pf
19.07.2008 23:59 7.508 LOGON.SCR-151EFAEA.pf
19.07.2008 23:58 28.500 RUNDLL32.EXE-17BD4855.pf
19.07.2008 23:55 74.920 ACSTART16.EXE-0687143C.pf
19.07.2008 23:55 28.074 WINSTART.EXE-0965B79A.pf
19.07.2008 23:54 26.448 REALPLAY.EXE-39F79CBD.pf
19.07.2008 23:54 16.554 TFSWCTRL.EXE-360FB39A.pf
19.07.2008 23:54 17.748 NVMIXERTRAY.EXE-1AD37042.pf
19.07.2008 23:54 8.820 E_S4I0S2.EXE-33C7D25E.pf
19.07.2008 23:54 9.672 QTTASK.EXE-2D7EEF34.pf
19.07.2008 23:54 63.674 WMIPRVSE.EXE-28F301A9.pf
19.07.2008 23:54 69.848 USERINIT.EXE-30B18140.pf
19.07.2008 23:54 25.860 RUNDLL32.EXE-1340EF7F.pf
19.07.2008 23:54 48.994 WGATRAY.EXE-0ED38BED.pf
19.07.2008 23:54 6.728 NEROCHECK.EXE-092C6DFA.pf
19.07.2008 23:51 484.700 Layout.ini
19.07.2008 21:19 21.816 PPTVIEW.EXE-11A5695A.pf
19.07.2008 15:46 272.014 HELPSVC.EXE-2878DDA2.pf
19.07.2008 15:43 69.082 DFRGNTFS.EXE-269967DF.pf
19.07.2008 15:42 17.642 DEFRAG.EXE-273F131E.pf
16.07.2008 21:11 15.798 NOTEPAD.EXE-336351A9.pf
16.07.2008 21:06 22.596 HIJACKTHIS[1].EXE-20FF1AAC.pf
16.07.2008 21:05 13.116 REGEDIT.EXE-1B606482.pf
16.07.2008 20:57 37.532 MBAM.EXE-11D8BBD8.pf
16.07.2008 20:56 17.872 MBAM-SETUP[1].TMP-21F65322.pf
16.07.2008 20:56 14.754 MBAM-SETUP[1].EXE-07B7E42A.pf
16.07.2008 20:53 26.878 MSMSGS.EXE-32066BA5.pf
16.07.2008 20:53 14.778 FREEPDFA.EXE-248EE6AA.pf
16.07.2008 20:53 13.760 NOTEPAD.EXE-189578DA.pf
16.07.2008 20:53 3.156 GNC.EXE-0A17326C.pf
16.07.2008 20:53 3.156 GNC.EXE-166794FD.pf
16.07.2008 20:53 3.152 GNC.EXE-06AA08F3.pf
16.07.2008 20:53 3.148 GNC.EXE-2CB72EBB.pf
16.07.2008 20:53 4.726 GNC.EXE-08560DC4.pf
16.07.2008 20:53 15.380 ALG.EXE-0F138680.pf
16.07.2008 20:53 67.012 GNC.EXE-298006C5.pf
16.07.2008 20:53 10.706 REG.EXE-0D2A95F7.pf
16.07.2008 20:53 94.304 FINDSTR.EXE-0CA6274B.pf
16.07.2008 20:53 4.218 OEM2ANSI.EXE-04B221CA.pf
16.07.2008 20:51 11.152 SHUTDOWN.EXE-12DAD820.pf
16.07.2008 20:50 16.654 CHKNTFS.EXE-31921D64.pf
16.07.2008 20:50 6.728 GETPATHS.EXE-10B311CA.pf
16.07.2008 20:49 15.228 IS-LTR14.TMP-378D7D91.pf
16.07.2008 20:49 17.702 NAVILOG1[1].EXE-022DC2A0.pf
16.07.2008 20:46 46.248 AVCENTER.EXE-37584419.pf
16.07.2008 20:46 14.548 PREUPD.EXE-358AA1C1.pf
15.07.2008 23:35 11.188 SORT.EXE-194AE83C.pf
15.07.2008 23:35 11.092 ATTRIB.EXE-39EAFB02.pf
15.07.2008 23:35 10.846 CATCHME.EXE-0B06868A.pf
15.07.2008 23:26 14.128 IS-T2U1I.TMP-20EDB4A0.pf
13.07.2008 22:55 18.514 DRWTSN32.EXE-2B4B52AC.pf
13.07.2008 22:55 49.506 DWWIN.EXE-30875ADC.pf
13.07.2008 22:55 42.756 IEDW.EXE-2D047874.pf
13.07.2008 18:47 34.000 EXCEL.EXE-0D2E9C6C.pf
13.07.2008 18:31 68.890 TASKMGR.EXE-20256C55.pf
13.07.2008 18:22 26.870 FLASHUTIL9B.EXE-2D0B142A.pf
13.07.2008 18:22 22.834 ADOBEUPDATER.EXE-370FC314.pf
13.07.2008 14:21 15.760 _IU14D2N.TMP-10ABD50F.pf
13.07.2008 14:21 29.752 UNINS000.EXE-27BD0516.pf
13.07.2008 14:18 64.346 AU_.EXE-301454F1.pf
13.07.2008 14:18 23.792 UNINST.EXE-09058D08.pf
13.07.2008 14:12 43.742 GUARDGUI.EXE-1BD45C30.pf
13.07.2008 14:12 27.204 RUNDLL32.EXE-13404D23.pf
13.07.2008 14:03 47.200 AVSCAN.EXE-05AECC0E.pf
13.07.2008 13:01 36.290 SPYWARE-SECURE_TRIAL.EXE-1E8D003F.pf
13.07.2008 13:00 14.504 SPYWARESECURE_TRIAL_SETUP[1].-33FD1D1E.pf
12.07.2008 16:17 17.774 RUNDLL32.EXE-12E27DD0.pf
27.06.2008 22:18 18.194 ACLAUNCHER.EXE-022B14D6.pf
27.06.2008 22:16 12.162 RUNDLL32.EXE-451FC2C0.pf
27.06.2008 22:15 48.490 ADSKCLEANUP.0001-171B225A.pf
27.06.2008 22:12 26.022 OQQWASA.EXE-231EAFFE.pf
27.06.2008 22:11 19.726 DUMPREP.EXE-1B46F901.pf
27.06.2008 21:08 14.186 SETUP.EXE-393E66AE.pf
27.06.2008 20:29 34.368 WINHLP32.EXE-2C18E975.pf
27.06.2008 20:25 72.474 COMPONENTLAUNCHER.EXE-2010721B.pf
27.06.2008 20:16 36.174 MAPSOURCE.EXE-2660B940.pf
27.06.2008 20:14 15.578 RUNDLL32.EXE-1E56DF28.pf
27.06.2008 20:12 24.556 UNLOCKWIZARD.EXE-048C510B.pf
27.06.2008 19:34 28.408 MSIEXEC.EXE-2F8A8CAE.pf
27.06.2008 19:02 51.274 NTVDM.EXE-1A10A423.pf
27.06.2008 10:11 28.358 CSC.EXE-01730C27.pf
27.06.2008 10:11 9.166 CVTRES.EXE-2329DCD5.pf
27.06.2008 10:10 5.534 ADSKSCSRV.EXE-162256D2.pf
27.06.2008 10:09 63.266 ACAD.EXE-076CD3F5.pf
26.06.2008 23:11 16.376 RUNDLL32.EXE-35045D5F.pf
26.06.2008 22:27 29.370 BPP5.EXE-08B22113.pf
25.06.2008 22:11 35.392 THLRDKHU.EXE-2F41313D.pf
25.06.2008 22:11 32.054 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
25.06.2008 22:11 5.854 APDPROXY.EXE-0BCD8D9C.pf
25.06.2008 14:19 71.036 MSIMN.EXE-0B61806C.pf
25.06.2008 13:23 39.854 CRAZYCRASHRACING.EXE-173DFCC4.pf
25.06.2008 13:23 79.154 UPDATE.EXE-2B393FC9.pf
14.06.2008 13:09 20.866 I_VIEW32.EXE-0B6C3BA4.pf

Verzeichnis von C:\WINDOWS

20.07.2008 21:34 1.374.385 WindowsUpdate.log
20.07.2008 21:33 50 wiaservc.log
20.07.2008 21:33 159 wiadebug.log
20.07.2008 21:33 0 0.log
20.07.2008 21:32 2.048 bootstat.dat
20.07.2008 21:31 32.634 SchedLgU.Txt
27.06.2008 20:15 1.015.314 setupapi.log
25.06.2008 13:24 160.902 iis6.log
25.06.2008 13:24 341.853 comsetup.log
25.06.2008 13:24 207.880 ntdtcsetup.log
25.06.2008 13:24 1.374 imsins.log
25.06.2008 13:24 55.605 ocmsn.log
25.06.2008 13:24 388.125 tsoc.log
25.06.2008 13:24 8.132 KB951376-v2.log
25.06.2008 13:24 484.161 ocgen.log
25.06.2008 13:24 50.620 msgsocm.log
25.06.2008 13:24 1.006.947 FaxSetup.log
13.06.2008 00:23 1.374 imsins.BAK
13.06.2008 00:23 17.815 KB950759-IE7.log
13.06.2008 00:23 110.943 updspapi.log
13.06.2008 00:21 11.782 KB951698.log
13.06.2008 00:21 8.107 KB950762.log
13.06.2008 00:21 6.326 KB950760.log
13.06.2008 00:21 7.730 KB951376.log
07.06.2008 16:47 49 NeroDigital.ini
04.06.2008 18:47 12.862 EPISMG00.SWB
27.05.2008 22:56 10.383 KB932823-v3.log
14.05.2008 10:58 13.593 KB950749.log
12.04.2008 10:51 14.314 KB948881.log

Verzeichnis von C:\WINDOWS\tasks

20.07.2008 21:32 6 SA.DAT
04.08.2004 14:00 65 desktop.ini

Verzeichnis von C:\WINDOWS\temp

20.07.2008 21:33 409 WGANotify.settings
20.07.2008 21:33 255 WGAErrLog.txt
20.07.2008 10:19 64 DSPF.tmp
20.07.2008 10:16 39.376 DSP13.tmp
20.07.2008 10:16 304.060 DSP12.tmp

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

20.07.2008 21:35 134.213 filelist.txt
20.07.2008 21:33 16.384 ~DF718F.tmp
20.07.2008 21:28 2.387 jusched.log
20.07.2008 21:22 16.384 ~DFD0FD.tmp
20.07.2008 10:11 16.384 ~DFB810.tmp
20.07.2008 00:02 16.384 ~DFBD7A.tmp
19.07.2008 23:54 16.384 ~DF1281.tmp
19.07.2008 20:56 16.384 ~DFD184.tmp
19.07.2008 15:07 16.384 ~DFA9BC.tmp
16.07.2008 20:53 16.384 ~DF3FEA.tmp
27.12.2007 21:32 19.456 ~WRL3469.tmp
24.05.2006 19:10 455.600 _is20C.exe

nochdigger · 20.07.2008, 22:16

Hallo

wende bitte nun den CCleaner an.
Lade dir Blacklight und scanne dein System
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
poste anschließend das Log.

Lass dein System online prüfen z.B. hier
Free Virus Scan - Kaspersky Lab
BitDefender Online Scanner - Free Online Virus Scan
berichte bitte ob Funde gemacht wurden und wie sich dein System verhält.

MFG

dechniker · 21.07.2008, 22:03

Hallo,

hier die aktuellen Logs:

Bei Blacklight : No hidden items found!

Kaspersky:.
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Monday, July 21, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, July 21, 2008 16:39:56
Records in database: 981105
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan statistics:
Files scanned: 70499
Threat name: 6
Infected objects: 6
Suspicious objects: 0
Duration of the scan: 01:17:54

File name / Threat name / Threats count
C:\Programme\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1
C:\temp\MediaGateway.exe Infected: not-a-virus:AdWare.Win32.WinAD.bj 1
C:\WINDOWS\NDNuninstall6_90.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e 1
C:\WINDOWS\system32\45707aef.ini Infected: not-a-virus:AdWare.Win32.Sahat.ao 1
C:\WINDOWS\system32\7tribpk2.dll Infected: not-a-virus:AdWare.Win32.Sahat.be 1
C:\WINDOWS\system32\joele29_WinAdCtlInstPack.exe Infected: not-a-virus:AdWare.Win32.WinAD.b 1

The selected area was scanned.

Soweit ich das beurteilen kann läuft das System ganz normal.

Vielen Dank
Gruss Dechniker

Ungewollte Fenster öffnen sich; Int.-Explorer

Plagegeister aller Art und deren Bekämpfung: Ungewollte Fenster öffnen sich; Int.-Explorer