Hi,

na immerhin wissen wir jetzt schonmal wie dein Problem auf den Rechner gekommen sein dürfte:

Zitat:

D:\Dokumente und Einstellungen\***\Shared\deutschland dein trikot.mp3 Infizierte Objekte: Trojan-Downloader.WMA.Wimad.n übersprungen

Was machen die Rootkitscanner (bitte bitte schließe alle anderen Anwendungen bevor du die Scans ausführst..)

lg myrtille

der GMER ist gerade fertig, aber wo ist die Zwischenablage??Also wo finde ich das Logfile?

Setz den Cursor in deine Antwort und drücke strg und v gleichzeitig.

Oder über Rechtsklick und dann auf Einfügen.

lg myrtille

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 18:14:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-21 18:36:48
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F8B6E8C4 ZwCreateThread
SSDT F8B6E8B0 ZwOpenProcess
SSDT F8B6E8B5 ZwOpenThread
SSDT F8B6E8BF ZwTerminateProcess
SSDT F8B6E8BA ZwWriteVirtualMemory

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F898A4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F898A52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [F898A54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F898A20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F898A256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

---- EOF - GMER 1.0.14 ----

Den anderen Test mache ich morgen, da ich jetzt ein Meeting habe

Schönen tag noch!

hab es doch noch geschafft hier ist das Ergebnis des RootkitRevealer:

Code: Alles auswählenAufklappen

ATTFilter

HKLM\SECURITY\Policy\Secrets\SAC*    11.02.2007 21:02    0 bytes    Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*    11.02.2007 21:02    0 bytes    Key name contains embedded nulls (*)
         

Gruß

Es fällt schwer zu glauben, dass an diesem Rechner nichts manipuliert/bereinigt/verändert wurde.
Insbesondere nach deinem ursprünglichen Auftreten hier.

Vor allem da ich sozusagen den Beweis hab, dass das System bereits woanders bereinigt werden sollten (und verändert wurde): Link
Ohne das du da etwas zu gesagt hast. Wer sagt mir dass du nicht vorher schon woanders warst und uns jetzt zum Narren hältst?

Ich bleib bei meiner Aussage: Das ist vermutlich ein RBot. SDFix sollte in der Lage sein ihn zu entfernen.
Aber da du so ein großer Fan vom Neuaufsetzen bist und die ganze Vorgeschichte mehr als undurchsichtig ist, würde ich DIR das empfehlen.

lg myrtille

Hallo ich habe bei diesem Link, aber nichts verändert bereingt ich habe nur versucht die datei zu finden? Aber im Forum Chip wurde mir nurformatieren empfolen und das ahbe ich vor paar Monaten, deswegen habe ich mir an das trojaner-board gewendet.

Eine Einleitung zu SDFix fände ich nett.

Gruß

Hi,
dann versuch mal SDFix:

• Lade dir SDFix herunter und speichere es auf deinem Desktop.
• Starte SDFix.exe per Doppelklick, wähle installieren, um das Programm in seinen eigenen Ordner unter C:\ zu entpacken.
• Wechsle in den abgesicherten Modus
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Wenn dich das Skript dazu auffordert, drücke bitte eine Taste, um den Rechner neuzustarten.
• Wenn der Rechner hochgefahren ist, wird das Programm zuende laufen.
• Zum Schluss muss nochmal eine Taste gedrückt werden, um das Skript zu beenden und den explorer zu starten.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier

lg myrtille

Der Report:




SDFix: Version 1.228
Run by Mouloud on 24.09.2008 at 12:37

Microsoft Windows XP [Version 5.1.2600]
Running From: D:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP2.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP3.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP5.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP6.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP1E.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP2.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP24.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP3.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP34.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP35.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP49.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4A.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4B.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4C.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP4F.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP5.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP52.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMP6.tmp - Deleted
D:\DOKUME~1\Mouloud\LOKALE~1\Temp\TMPC7.tmp - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2008-09-24 12:45:49
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\Messenger\\msmsgs.exe"="D:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="D:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Programme\\FlashGet\\flashget.exe"="D:\\Programme\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"D:\\Programme\\VideoLAN\\VLC\\vlc.exe"="D:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"D:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="D:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"D:\\Programme\\Zattoo\\zattood.exe"="D:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"D:\\Programme\\Zattoo\\Zattoo1.exe"="D:\\Programme\\Zattoo\\Zattoo1.exe:*:Enabled: "
"D:\\Programme\\Skype\\Phone\\Skype.exe"="D:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe"="D:\\Programme\\concept design\\onlineTV 4\\onlineTV.exe:*:EnablednlineTV"

Remaining Files :


File Backups: - D:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 11 May 2007 4,348 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 3 Feb 2008 124,928 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Desktop\~WRL0638.tmp"
Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0005.tmp"
Fri 23 Nov 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0006.tmp"
Sat 16 Jun 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0107.tmp"
Sat 16 Jun 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0126.tmp"
Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0140.tmp"
Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0194.tmp"
Sat 16 Jun 2007 26,112 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0277.tmp"
Sun 10 Jun 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0491.tmp"
Sat 16 Jun 2007 25,600 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0518.tmp"
Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL0719.tmp"
Mon 19 Mar 2007 24,064 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1339.tmp"
Sat 16 Jun 2007 25,600 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1440.tmp"
Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1737.tmp"
Mon 19 Mar 2007 22,016 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL1954.tmp"
Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2159.tmp"
Mon 19 Mar 2007 24,576 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2172.tmp"
Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2474.tmp"
Sat 16 Jun 2007 26,112 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2570.tmp"
Mon 19 Mar 2007 20,480 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2616.tmp"
Mon 19 Mar 2007 23,552 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2804.tmp"
Mon 19 Mar 2007 20,992 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL2962.tmp"
Mon 19 Mar 2007 23,040 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL3059.tmp"
Sat 16 Jun 2007 27,136 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL3682.tmp"
Mon 19 Mar 2007 23,552 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL4003.tmp"
Mon 19 Mar 2007 19,968 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\~WRL4039.tmp"
Sat 20 Sep 2008 228 A..H. --- "D:\Program Files\InterActual\InterActual Player\iti1.tmp"
Fri 23 Nov 2007 0 A.SH. --- "D:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 1 May 2007 44,032 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL0618.tmp"
Sun 15 Apr 2007 41,984 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL2581.tmp"
Tue 1 May 2007 45,056 ...H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Sidi\~WRL2653.tmp"
Fri 19 Sep 2008 84 A..H. --- "D:\Programme\Common Files\X10\Common\x10prod.sys"
Tue 19 Jun 2007 32,256 A..H. --- "D:\Dokumente und Einstellungen\Mouloud\Eigene Dateien\Word-Dokumente\Paris\~WRL0014.tmp"

Finished!

Und hier mein neues Hijackthis-Logfile :


Logfile of Trend Micro Hijac*This v2.0.2
Scan saved at 13:13:47, on 24.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\phonostar\ps_timer.exe
D:\WINDOWS\system32\winlogon.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhonostarTimer] D:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1417001333-839522115-725345543-1007\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User 'Alex')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - h*tp://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - ht*p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - ht*p://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6494 bytes



Gruß Computergeni(e)

Hi,
die Logs sind jetzt sauber.
Hattest du die Einträge gefixt?


Folgende Einträge kannst du auch noch fixen:

Zitat:

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

lg myrtille

Zitat:

Hattest du die Einträge gefixt?

Nein, ich habe gar nichts gefixt nur den SDFix laufen lassen

Zitat:

Folgende Einträge kannst du auch noch fixen:

Hab die Einträge gefixt.

Noch eine Frage:
Wenn ich zum Systemkonfigurationsprogramm gehe und dort zum reiter ''Systemstart'' wechsele steht dort immer noch kfozgbi.exe [den Hacken davon habe ich vor kurzem schon im abgesicherten Modus weggemacht) und davor natürlich die Systemwiederherstellung auf allen laufwerken deaktiviert)] Wie soll ich vorgehen?

Gruß

Zitat:

Zitat von Computergeni

Noch eine Frage:
Wenn ich zum Systemkonfigurationsprogramm gehe und dort zum reiter ''Systemstart'' wechsele steht dort immer noch kfozgbi.exe [den Hacken davon habe ich vor kurzem schon im abgesicherten Modus weggemacht) und davor natürlich die Systemwiederherstellung auf allen laufwerken deaktiviert)] Wie soll ich vorgehen?

Sorry. Aber ich hab mich gewundert wie die Einträge ohne dein Beitun verschwinden konnte.

Setz den Haken bei msconfig wieder rein, ruf HijackThis auf und fixe die beiden Einträge. (kannst du alles im abgesicherten modus machen)
Ansonsten kannst du auch regedit aufrufen (start->ausführen->regedit eingeben) und die Einträge manuell löschen.
Ich würd dir aber empfehlen, das mit HijackThis zu tun.

lg myrtille