Einträge lassen sich nciht löschen! virusgefahr!

Phönixfeder · 19.09.2008, 18:57

Schönen Guten Abend^^

Also,
ich hab das problem das ich befürchte, dass ich mit einem Virus infiziert wurde... Als ich die HijackThis log auswerten lies kam mir ein schreck, weil er sagte, dass etwas nicht stimmt! Ich poste mal das Logfile. Hoffe auf eine Baldige Hilfe wie ich die Schädlinge loswerde..Ich habe mir erlaubt, unbekannte Einträge und Schädlinge Rot zu markieren, damit die Suche einfacher verläuft.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:06, on 19.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\1220522400\ee\AOLSoftware.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAP\DAP.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1220522400\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdsgv.exe] C:\WINDOWS\system32\kdsgv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Leyla\Picasa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220538997953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F9B1A1C-3BA5-4348-A5F2-7D85A7A22351}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A06C16-77C7-4918-A5B1-748E9B3EEBF6}: NameServer = ***
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 7505 bytes

Schönen Gruß,
Phönixfeder

Silent sharK · 19.09.2008, 19:08

Hi,
die Nameserver hättest du nicht editieren müssen, so kann man dei IP Adressen leider nicht überprüfen.

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\kdsgv.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Phönixfeder · 19.09.2008, 22:03

Da gibt es nur ein Problem..Wenn ich einen Browser fürs Internet aufmache wirft er mich immer auf eine leere seite egal was ich drücke. Ist erst seit eben passiert!

Liebe Grüße,
Phönixfeder

Silent sharK · 19.09.2008, 22:05

Kannst du Malwarebytes von einem Zweitrechner runterladen und dann via USB-Stick, etc. auf diesem Rechner ausführen?

Phönixfeder · 19.09.2008, 22:08

klaro mach ich^^

Liebe grüße,
Phönixfeder

Phönixfeder · 20.09.2008, 08:53

sry für den Doppelpos aber bin zu blöde für den Edit-Button zu finden xD

Also Internet geht wieder eingiermaßen blos ist die File nich drinne. Wenn ich sie suche unter den Ordnern ist sie nicht da und auch wenn ich es mit VirusTotal Scannen will..Lasse gerade Malwarebytes laufen^^

EDIT: ahh gut das ich wenigstens den Post Editieren darf xD

Habe mit Malwarebytes ein Virus gefunden und die Datei per VirusTotal hochgeladen. Der Virus wurde schon öfter von Avira erkannt, lässt sich aber nie löschen.

Hier die Log die VirusTotal ausspuckt:

Datei tmp12E.tmp empfangen 2008.09.20 10:23:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/36 (19.45%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 5.
Geschätzte Startzeit is zwischen 56 und 81 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.19.2 2008.09.19 -
AntiVir 7.8.1.34 2008.09.19 TR/Passcrack.A
Authentium 5.1.0.4 2008.09.19 W32/Bongler-based!Maximus
Avast 4.8.1195.0 2008.09.19 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.19 -
BitDefender 7.2 2008.09.19 -
CAT-QuickHeal 9.50 2008.09.19 -
ClamAV 0.93.1 2008.09.19 -
DrWeb 4.44.0.09170 2008.09.20 -
eSafe 7.0.17.0 2008.09.18 -
eTrust-Vet 31.6.6095 2008.09.19 -
Ewido 4.0 2008.09.19 -
F-Prot 4.4.4.56 2008.09.19 W32/Bongler-based!Maximus
F-Secure 8.0.14332.0 2008.09.20 -
Fortinet 3.113.0.0 2008.09.20 -
GData 19 2008.09.19 -
Ikarus T3.1.1.34.0 2008.09.19 -
K7AntiVirus 7.10.464 2008.09.19 -
Kaspersky 7.0.0.125 2008.09.20 -
McAfee 5388 2008.09.19 -
Microsoft 1.3903 2008.09.20 Trojan:Win32/Alureon.gen!J
NOD32v2 3457 2008.09.19 -
Norman 5.80.02 2008.09.19 -
Panda 9.0.0.4 2008.09.19 -
PCTools 4.4.2.0 2008.09.19 -
Prevx1 V2 2008.09.20 -
Rising 20.62.42.00 2008.09.19 -
Sophos 4.33.0 2008.09.20 -
Sunbelt 3.1.1647.1 2008.09.18 -
Symantec 10 2008.09.19 Trojan Horse
TheHacker 6.3.0.9.089 2008.09.20 -
TrendMicro 8.700.0.1004 2008.09.19 -
VBA32 3.12.8.5 2008.09.19 -
ViRobot 2008.9.20.1384 2008.09.20 -
VirusBuster 4.5.11.0 2008.09.19 -
Webwasher-Gateway 6.6.2 2008.09.19 Trojan.Passcrack.A
weitere Informationen
File size: 24512 bytes
MD5...: 8496dfb34c14ac0e6755bb6f636e3514
SHA1..: 8317150e5859e736060e94521141791b95c6bf2b
SHA256: 0573afaabcc4bb0d5a85e274727e1e866f87ed5647ca3e1acadec1b55f472c4d
SHA512: cae7a713e5a647a3877aef3c79ed8ffc59847068da6b7cf1095ddf297f7467c7
54f132c77a31ea01ffec97bf72760d1efb2a03ef57e0e8b7d11c67faf39ed449
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10003a6b
timedatestamp.....: 0x48d0fb14 (Wed Sep 17 12:41:56 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3000 0x2c34 6.52 400582710826f12241ffe00d1c42726c
.rdata 0x4000 0x3000 0x2082 5.12 2233392b422bb88bd24ba94178b29815
.data 0x7000 0x2000 0x684 4.46 b38e5d09beaeea4d10e4a5608a0ab00b
.reloc 0x9000 0x702 0x5c0 6.24 52ffd2637295d66d8900276839ee1cfb

( 3 imports )
> ntdll.dll: RtlImageNtHeader, strchr, _stricmp, ZwOpenEvent, atoi, _snprintf, strstr, strncmp, sprintf, _chkstk, memcpy
> MSVCRT.dll: realloc, strtok, malloc, free
> KERNEL32.dll: GetLastError, LocalAlloc, LoadLibraryA, GetProcAddress, InterlockedExchange, GetTempFileNameA, CreateFileA, GetFileSize, Sleep, ReadFile, CloseHandle, DeleteFileA, HeapFree, GetProcessHeap, MoveFileExA, FreeLibrary, WaitForSingleObject, SetEvent, VirtualAlloc, GetSystemTimeAsFileTime, GetModuleFileNameA, GetModuleHandleA, LoadLibraryExA, VirtualProtect, GetTempPathA, CreateThread, GetVolumeInformationA, HeapAlloc, RaiseException

( 0 exports )

So...Malwarebytes ist fertig! Ich hab die Logfile auch ich jag sie mal hier hoch^^ Leider konnte er manche dateien nicht löschen:

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 3

20.09.2008 10:35:56
mbam-log-2008-09-20 (10-35-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 136579
Laufzeit: 40 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 13
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdsgv.exe -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4f9b1a1c-3ba5-4348-a5f2-7d85a7a22351}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4f9b1a1c-3ba5-4348-a5f2-7d85a7a22351}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b9a06c16-77c7-4918-a5b1-748e9b3eebf6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b9a06c16-77c7-4918-a5b1-748e9b3eebf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4f9b1a1c-3ba5-4348-a5f2-7d85a7a22351}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4f9b1a1c-3ba5-4348-a5f2-7d85a7a22351}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b9a06c16-77c7-4918-a5b1-748e9b3eebf6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b9a06c16-77c7-4918-a5b1-748e9b3eebf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4f9b1a1c-3ba5-4348-a5f2-7d85a7a22351}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{b9a06c16-77c7-4918-a5b1-748e9b3eebf6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{b9a06c16-77c7-4918-a5b1-748e9b3eebf6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{d114d563-32f8-41f6-8c29-bceb08102f27}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.13,85.255.112.174 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\kdsgv.exe (Rootkit.DNSChanger.H) -> No action taken.

So sieht das aus. Mitlerweile öffnet er die Festplatte C immer in einem neuen Ordner was ziemlich nervt. Ich hab mal ein Frisches HijackThis-Log für euch wegen veränderungen..weil das der das immer im neuen Ordner öffnet ist irgendwie über nacht passiert xD

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:29, on 20.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Gemeinsame Dateien\AOL\1220522400\ee\AOLSoftware.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAP\DAP.EXE
C:\Leyla\Picasa\Picasa2\PicasaMediaDetector.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TEMP\tempo-835.tmp
C:\WINDOWS\System32\alg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1220522400\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdsgv.exe] C:\WINDOWS\system32\kdsgv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Leyla\Picasa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220538997953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F9B1A1C-3BA5-4348-A5F2-7D85A7A22351}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A06C16-77C7-4918-A5B1-748E9B3EEBF6}: NameServer = ***
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 7819 bytes

Silent sharK · 20.09.2008, 11:16

Hi,
von MBAM bitte alle Funde löschen lassen.

So gehts weiter:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Phönixfeder · 20.09.2008, 13:19

Das hier ist die ComboFix log:

ComboFix 08-09-19.09 - *** 2008-09-20 13:57:34.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.722 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\WINDOWS\system32\MSINET.oca

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-20 bis 2008-09-20 ))))))))))))))))))))))))))))))
.

2008-09-20 13:38 . 2008-09-20 13:38 <DIR> d-------- C:\Programme\CCleaner
2008-09-20 12:06 . 2008-09-20 13:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-09-20 11:52 . 2008-09-20 11:56 <DIR> d-------- C:\Programme\ClearProg
2008-09-19 23:13 . 2008-09-19 23:13 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-19 23:13 . 2008-09-19 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-09-19 23:13 . 2008-09-19 23:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-19 23:13 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-19 23:13 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-19 20:47 . 2008-09-19 20:48 <DIR> d-------- C:\Programme\AutoIt3
2008-09-19 20:05 . 2008-09-19 20:05 268 --ah----- C:\sqmdata13.sqm
2008-09-19 20:05 . 2008-09-19 20:05 244 --ah----- C:\sqmnoopt13.sqm
2008-09-19 19:19 . 2008-09-19 19:27 <DIR> d-------- C:\Programme\XPcleanv5
2008-09-19 19:19 . 2008-09-19 19:19 268 --ah----- C:\sqmdata12.sqm
2008-09-19 19:19 . 2008-09-19 19:19 244 --ah----- C:\sqmnoopt12.sqm
2008-09-19 18:57 . 2008-09-20 11:56 <DIR> dr-hs---- C:\resycled
2008-09-19 17:55 . 2008-09-20 13:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-09-19 17:55 . 2008-09-19 19:08 <DIR> d-------- C:\Programme\G DATA AntiVirus
2008-09-19 17:55 . 2008-09-19 20:00 45,768 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-09-19 13:28 . 2008-09-19 13:28 268 --ah----- C:\sqmdata11.sqm
2008-09-19 13:28 . 2008-09-19 13:28 244 --ah----- C:\sqmnoopt11.sqm
2008-09-18 22:08 . 2008-09-18 22:08 244 --ah----- C:\sqmnoopt10.sqm
2008-09-18 22:08 . 2008-09-18 22:08 232 --ah----- C:\sqmdata10.sqm
2008-09-17 03:27 . 2008-09-17 03:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Licenses
2008-09-17 00:49 . 2008-09-17 00:49 <DIR> d-------- C:\WINDOWS\OvtCam
2008-09-17 00:49 . 2008-04-14 07:53 91,648 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-09-17 00:49 . 2008-04-14 07:53 91,648 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-09-17 00:49 . 2008-04-14 07:53 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-09-17 00:49 . 2008-04-14 07:53 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-09-17 00:49 . 2008-04-14 07:52 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-09-17 00:49 . 2008-04-14 07:52 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-09-17 00:48 . 2008-04-14 07:53 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-09-17 00:48 . 2008-04-14 07:53 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-09-17 00:46 . 2008-09-17 00:46 <DIR> d-------- C:\Programme\Eyetoywindrivers
2008-09-17 00:46 . 2003-10-15 17:52 307,200 --a------ C:\WINDOWS\vidcap32.exe
2008-09-17 00:46 . 2003-10-15 17:52 200,704 --a------ C:\WINDOWS\sel3110.exe
2008-09-17 00:45 . 2003-10-15 17:52 174,530 --a------ C:\WINDOWS\system32\drivers\ov519vid.sys
2008-09-17 00:45 . 2003-10-15 17:52 135,168 --a------ C:\WINDOWS\ov519cap.exe
2008-09-17 00:45 . 2003-10-15 17:52 61,440 --a------ C:\WINDOWS\ov519dib.dll
2008-09-17 00:45 . 2003-10-15 17:52 40,960 --a------ C:\WINDOWS\system32\ov519ext.dll
2008-09-17 00:45 . 2003-10-15 17:52 40,960 --a------ C:\WINDOWS\CleanDev.exe
2008-09-17 00:45 . 2003-10-15 17:52 32,528 --a------ C:\WINDOWS\amcap.exe
2008-09-17 00:45 . 2003-10-15 17:52 25,211 --a------ C:\WINDOWS\system32\drivers\ov519cmd.sys
2008-09-17 00:45 . 2003-10-15 17:52 25,099 --a------ C:\WINDOWS\system32\ov519ext.ax
2008-09-17 00:45 . 2003-10-15 17:52 16,426 --a------ C:\WINDOWS\system32\ov519usd.dll
2008-09-15 14:28 . 2008-09-15 14:28 <DIR> d-------- C:\Programme\ASCII
2008-09-15 14:28 . 2000-03-07 00:00 473,600 --a------ C:\WINDOWS\system32\Harmony.dll
2008-09-15 14:28 . 2000-03-07 00:00 237,568 --a------ C:\WINDOWS\system32\Unlha32.dll
2008-09-15 14:28 . 2000-07-08 15:06 87,040 --a------ C:\WINDOWS\UnGins.exe
2008-09-14 23:58 . 2008-09-14 23:58 <DIR> d-------- C:\Programme\Vidalia Bundle
2008-09-14 23:58 . 2008-09-20 13:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia
2008-09-14 23:41 . 2008-09-14 23:41 <DIR> d-------- C:\Programme\Tor
2008-09-14 23:41 . 2008-09-20 13:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tor
2008-09-14 03:51 . 2008-09-19 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
2008-09-14 03:51 . 2008-09-14 03:51 <DIR> d-------- C:\Dokumente und Einstellungen\***\.thumbnails
2008-09-14 03:50 . 2008-09-14 03:50 <DIR> d-------- C:\Programme\GIMP-2.0
2008-09-14 03:50 . 2008-09-19 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\***\.gimp-2.4
2008-09-13 13:45 . 2008-09-13 14:53 <DIR> d-------- C:\Programme\Fraps
2008-09-13 13:31 . 2008-09-13 13:31 <DIR> d-------- C:\Programme\mp3DirectCut
2008-09-13 00:35 . 2008-09-13 00:35 <DIR> d-------- C:\WINDOWS\Sun
2008-09-13 00:34 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-13 00:33 . 2008-09-15 00:14 <DIR> d-------- C:\Programme\Java
2008-09-13 00:33 . 2008-09-13 00:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-09-11 14:08 . 2008-09-17 01:48 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI
2008-09-10 19:46 . 2008-09-10 19:46 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-09-10 19:45 . 2008-09-10 20:02 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3
2008-09-10 16:47 . 2008-09-18 09:26 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-09-10 09:41 . 2008-09-10 09:41 81,920 --a------ C:\WINDOWS\system32\frapsvid.dll
2008-09-10 08:16 . 2008-09-18 15:18 <DIR> d-------- C:\Ayse
2008-09-09 23:32 . 2008-09-09 23:32 <DIR> d-------- C:\Programme\Engelmann Media
2008-09-09 23:32 . 2008-09-09 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Engelmann Media
2008-09-09 23:28 . 2008-09-09 23:28 <DIR> d-------- C:\Programme\BitComet FLV Converter
2008-09-09 20:56 . 2008-09-10 18:29 <DIR> d-------- C:\Programme\LucasArts
2008-09-09 18:08 . 2008-09-09 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firefly Studios
2008-09-09 17:17 . 2008-09-09 18:07 108,144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-09-09 17:13 . 2008-09-09 17:13 <DIR> d-------- C:\Programme\Firefly Studios
2008-09-09 16:18 . 2008-09-09 16:18 <DIR> d-------- C:\Programme\Reality Pump
2008-09-09 16:06 . 1998-09-02 10:02 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2008-09-09 16:06 . 1998-08-27 06:51 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2008-09-09 16:06 . 1998-08-20 13:02 140,800 --a------ C:\WINDOWS\system32\tm20dec.ax
2008-09-09 16:06 . 1998-09-02 10:28 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2008-09-09 16:06 . 1998-09-02 10:28 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2008-09-09 16:06 . 1998-08-17 11:21 11,776 --a------ C:\WINDOWS\system32\mciqtz.drv
2008-09-09 16:06 . 1998-08-17 11:21 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2008-09-09 16:06 . 1998-08-17 11:21 5,672 --a------ C:\WINDOWS\system32\quartz.vxd
2008-09-09 16:06 . 2008-09-09 16:06 4,608 --a------ C:\WINDOWS\system32\w95inf32.dll
2008-09-09 16:06 . 2008-09-09 16:06 2,272 --a------ C:\WINDOWS\system32\w95inf16.dll
2008-09-08 17:00 . 2008-09-08 17:00 <DIR> d-------- C:\Programme\uTorrent
2008-09-08 17:00 . 2008-09-08 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\uTorrent
2008-09-07 22:59 . 2008-09-15 13:16 <DIR> d-------- C:\Gl
2008-09-07 18:56 . 2008-09-07 18:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2008-09-07 18:34 . 2008-09-07 18:34 <DIR> d-------- C:\Programme\Ascaron Entertainment
2008-09-07 14:20 . 2008-09-07 14:20 <DIR> d-------- C:\Programme\ABBYY FineReader 6.0 Sprint
2008-09-07 14:20 . 2008-09-07 14:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
2008-09-07 14:18 . 2006-04-05 03:05 73,216 --a------ C:\WINDOWS\system32\E_FLBBIE.DLL
2008-09-07 14:18 . 2005-04-11 03:01 62,976 --a------ C:\WINDOWS\system32\E_FD4BBIE.DLL
2008-09-07 14:18 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-09-07 14:16 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-07 14:16 . 2008-04-14 00:15 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-07 14:13 . 2008-09-07 14:21 <DIR> d-------- C:\Programme\epson
2008-09-07 14:13 . 2006-03-20 00:00 63,488 --a------ C:\WINDOWS\system32\escwiad.dll
2008-09-07 14:13 . 2008-09-07 14:13 25 --a------ C:\WINDOWS\CDE DX6000EFDG.ini
2008-09-07 14:12 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-07 14:12 . 2008-04-14 00:15 32,128 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-07 14:12 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-07 14:12 . 2008-04-14 00:17 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-09-06 19:55 . 2008-09-17 01:35 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-06 18:50 . 2008-09-06 18:50 <DIR> d-------- C:\Programme\Google
2008-09-06 18:50 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-06 18:50 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-06 18:38 . 2008-09-19 13:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MSN6
2008-09-06 18:38 . 2008-09-06 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSN6
2008-09-06 16:25 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-06 16:23 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-06 16:23 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-09-06 16:23 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-06 16:17 . 2008-09-06 16:42 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-05 21:59 . 2008-09-18 18:46 <DIR> d-------- C:\Leyla
2008-09-05 21:38 . 2008-04-14 00:15 26,368 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-09-05 20:14 . 2008-04-14 07:26 2,973,696 -----c--- C:\WINDOWS\system32\dllcache\wmploc.dll
2008-09-05 20:13 . 2008-04-13 22:06 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-09-05 20:13 . 2008-04-14 00:10 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-09-05 20:12 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\004812_.tmp
2008-09-05 19:45 . 2008-09-05 19:45 <DIR> d-------- C:\Programme\Trend Micro
2008-09-05 15:27 . 2008-09-05 15:27 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-09-05 15:19 . 2008-09-05 15:19 <DIR> d-------- C:\Programme\Jowood

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 21:12 --------- d-----w C:\Programme\SiSLan
2008-09-04 13:40 --------- d-----w C:\Programme\microsoft frontpage
2008-09-04 09:24 8,552 ----a-w C:\WINDOWS\system32\drivers\asctrm.sys
2008-09-03 21:13 --------- d-----w C:\Programme\C-Media 3D Audio
2008-09-03 20:52 --------- d-----w C:\Programme\Online-Dienste
2008-09-03 20:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-08-22 01:08 878,592 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-22 01:08 43,008 ----a-w C:\WINDOWS\system32\licmgr10.dll
2008-08-22 01:06 72,704 ----a-w C:\WINDOWS\system32\admparse.dll
2008-08-22 01:06 71,680 ----a-w C:\WINDOWS\system32\iesetup.dll
2008-08-22 01:06 434,176 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-08-22 01:05 48,640 ------w C:\WINDOWS\system32\PrivacIE.dll
2008-08-22 01:05 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-08-22 01:05 35,840 ----a-w C:\WINDOWS\system32\imgutil.dll
2008-08-22 01:04 45,568 ----a-w C:\WINDOWS\system32\mshta.exe
2008-08-22 00:57 156,160 ----a-w C:\WINDOWS\system32\msls31.dll
2008-08-05 15:55 265,720 ----a-w C:\WINDOWS\system32\msdbg2.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-02 19:12 273,408 ----a-w C:\WINDOWS\system32\EMRegSys.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]
"DownloadAccelerator"="C:\Programme\DAP\DAP.EXE" [2008-09-04 3057152]
"Picasa Media Detector"="C:\Leyla\Picasa\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2008-09-03 4013511]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-04 98304]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1220522400\ee\AOLSoftware.exe" [2006-09-26 50736]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-17 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-11-17 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"nwiz"="nwiz.exe" [2006-11-17 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1220522400\\ee\\aolsoftware.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\***\\Desktop\\longju2\\metin2.bin"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\***\\Desktop\\5imt2\\5iMt2.exe"=
"C:\\Dokumente und Einstellungen\\***\\Desktop\\5imt2\\metin2.bin"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"C:\\Programme\\DAP\\DAP.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Dokumente und Einstellungen\\***\\Desktop\\metin\\metin2.bin"=

R0 si3112r;Silicon Image SiI 3512 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2006-06-28 102400]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2004-11-01 10368]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-NWEReboot - (no file)

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\sd6dgf9j.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://google.de/
FF -: plugin - C:\Leyla\Picasa\Picasa2\npPicasa2.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-09-20 13:59:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-20 14:00:00
ComboFix-quarantined-files.txt 2008-09-20 11:59:58

Vor Suchlauf: 12 Verzeichnis(se), 472.003.678.208 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 472,017,412,096 Bytes frei

251 --- E O F --- 2008-09-10 10:04:29

Phönixfeder · 20.09.2008, 17:13

hallo? Antwortet jemand? Ich will den doofen Virus endlich weghaben =(

Silent sharK · 20.09.2008, 18:23

Das ist ein Forum, keine Hotline.
Hast du denn noch Probleme?

Phönixfeder · 20.09.2008, 22:24

ja klaro...der Meldet den immer weider. Ich vermute mal keylogger.

Silent sharK · 20.09.2008, 22:29

Wer meldet was und wo?
Sorry, meine Glaskugel ist gerade beim Polieren..

Phönixfeder · 20.09.2008, 22:30

xDD Sry ich meinte ja Avira. Avira meldet mir immer wieder neu das der den Virus drinne hat. Malwarebytes erkennt auch immer dasselbe, aber beheben tuts nichts weil der Virus immer und immer wiederkommt.

Silent sharK · 20.09.2008, 22:37

Na klasse.
Schlauer bin ich daraus nicht geworden.
Bitte Meldung von Avira und den Scanreport von MBAM posten.

Tanja_S · 21.09.2008, 12:10

Hallo !

Ich habe leider das gleiche Problem und auch bei mir warnt Antivir, dass Datei *.tmp diesen TR/Passcrack.A Trojaner enthalten soll. Ich habe die Datei mit Spybot/Fileshredder gelöscht, die Warnung taucht jedoch nach dem Neustart wieder bei einer anderen Datei auf.

Habt Ihr denn schon eine Lösung gefunden ? Oder seid Ihr irgendwie in der Sache weitergekommen ?

Ich habe mal meine Hijackthis-Log angehängt :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:42, on 21.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\OO Software\CleverCache\ooccag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe
C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
C:\Program Files\Lenovo\System Update\SUService.exe
C:\Program Files\NetLimiter 2 Monitor\NLClient.exe
C:\Program Files\Lenovo\TrackPoint\tp4serv.exe
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\OO Software\CleverCache\ooccctrl.exe
C:\WINDOWS\system32\oodtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lenovo\Client Security Solution\password_manager.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\PopTray\PopTray.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Program Files\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [cssauth] "C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Program Files\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - .DEFAULT Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Logitech . Produktregistrierung.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AB47811-4DAC-4E19-B23D-1F0401C7CAAB}: NameServer = 85.255.116.106,85.255.112.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3447A2F-7338-4A8E-9F3B-91F8C8309971}: NameServer = 85.255.116.106,85.255.112.102
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe

--
End of file - 13850 bytes

O17 habe ich gefixed, alle anderen Einträge waren mir bekannt.

Vielen Dank schon mal,

Grüße Tanja

Einträge lassen sich nciht löschen! virusgefahr!

Log-Analyse und Auswertung: Einträge lassen sich nciht löschen! virusgefahr!