q71hl1N6.exe lässt Popups erscheinen?

Didymus · 25.11.2008, 19:37

Vor einiger Zeit, fing der mein Rechner an, sonderbare Geräusche zu produzieren, und so Werbepopups erschienen. Manchmal gab er auch nur diese Geräusche von sich, was recht nervig ist wenn man grad seine Audioausgang mitschneidet...
Ich stellet fest, dass im Taskmanager iexplore.exe war, obwohl ich kein Internet an hatte. Das Beenden von iexplore.exe brachte nichts, er erschien sofort wieder. Ich stellte aber fest, dass wenn ich den Eintrag "q71hl1N6.exe" beendete, auch der iexplore-Eintarg verschwnd. Zumindest einige Zeit. Nach etwa ner halben Stunde taucht er wieder auf, und der tanz beginnt erneut...

Mein System ist windows XP Homeedition...
Noch Fragen? Dann: Fragen!

Didymus · 26.11.2008, 22:46

Wieß keiner Rat, wie ich den Käse wieder weg bekomme?

PS.: Wo kann ich meine Beiträge editieren?

Chris4You · 27.11.2008, 07:43

Hi,

editieren geht nur für eine gewisse Zeit;
Bitte ein HJ-Log gemäß dem Link in der Signatur erstellen, dann sehen wir weiter...

chris

Didymus · 10.12.2008, 17:35

So nach wochen endlich das Logfile, war die letzte zeit nicht da, daher die verzögerung

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:24:08, on 10.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\q71hl1N6.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.gatheringofdevelopers.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\s47jn7P3.dll
O2 - BHO: (no name) - {b7dd347c-c024-4e8e-942b-34b9d32405ce} - C:\WINDOWS\system32\rutobuki.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [gewowizusa] Rundll32.exe "C:\WINDOWS\system32\gelapele.dll",s
O4 - HKLM\..\Run: [7ccd6f3b] rundll32.exe "C:\WINDOWS\system32\yujukaku.dll",b
O4 - HKLM\..\Run: [CPM7ffe5ca7] Rundll32.exe "c:\windows\system32\dijuzihi.dll",a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [gewowizusa] Rundll32.exe "C:\WINDOWS\system32\gelapele.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\waziroto.dll c:\windows\system32\dijuzihi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dijuzihi.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dijuzihi.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 10871 bytes

Vielen Dank im voraus!

Chris4You · 11.12.2008, 07:47

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\waziroto.dll
c:\windows\system32\dijuzihi.dll
C:\WINDOWS\system32\gelapele.dll
C:\WINDOWS\system32\yujukaku.dll
C:\WINDOWS\system32\s47jn7P3.dll
C:\WINDOWS\system32\rutobuki.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls alle Files erkannt wurden, weitermachen, sonst die nicht erkannten
Files erstmal aus den Scripten rausnehmen (Avenger/HJ)
Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gewowizusa
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|7ccd6f3b
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|CPM7ffe5ca7
 
Files to delete:
C:\WINDOWS\system32\waziroto.dll
c:\windows\system32\dijuzihi.dll
C:\WINDOWS\system32\gelapele.dll
C:\WINDOWS\system32\yujukaku.dll
C:\WINDOWS\system32\s47jn7P3.dll
C:\WINDOWS\system32\rutobuki.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O20 - AppInit_DLLs: C:\WINDOWS\system32\waziroto.dll c:\windows\system32\dijuzihi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dijuzihi.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dijuzihi.dll
O4 - HKUS\S-1-5-19\..\Run: [gewowizusa] Rundll32.exe "C:\WINDOWS\system32\gelapele.dll",s (User 'LOKALER DIENST')
O4 - HKLM\..\Run: [gewowizusa] Rundll32.exe "C:\WINDOWS\system32\gelapele.dll",s
O4 - HKLM\..\Run: [7ccd6f3b] rundll32.exe "C:\WINDOWS\system32\yujukaku.dll",b
O4 - HKLM\..\Run: [CPM7ffe5ca7] Rundll32.exe "c:\windows\system32\dijuzihi.dll",a
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\s47jn7P3.dll
O2 - BHO: (no name) - {b7dd347c-c024-4e8e-942b-34b9d32405ce} - C:\WINDOWS\system32\rutobuki.dll

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Scanne danach mit Prevx und poste eventuelle Funde:
http://www.prevx.com/freescan.asp

Dann noch ein neues HJ-Log...

chris

Didymus · 14.12.2008, 15:15

So, ich werd jetzt mal nach und nach die ergebnisse reinstellen...
Schon mal vielen Dank für die mühe, die ich hier bereite!

Datei dijuzihi.dll empfangen 2008.12.14 15:11:47 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.2 2008.12.14 -
AntiVir 7.9.0.45 2008.12.12 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.12.13 -
Avast 4.8.1281.0 2008.12.13 -
AVG 8.0.0.199 2008.12.13 Vundo.BZ
BitDefender 7.2 2008.12.14 -
CAT-QuickHeal 10.00 2008.12.13 -
ClamAV 0.94.1 2008.12.14 -
Comodo 749 2008.12.13 -
DrWeb 4.44.0.09170 2008.12.14 -
eSafe 7.0.17.0 2008.12.14 Suspicious File
eTrust-Vet 31.6.6258 2008.12.12 Win32/Vundo.BMY
Ewido 4.0 2008.12.14 -
F-Prot 4.4.4.56 2008.12.13 -
F-Secure 8.0.14332.0 2008.12.14 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.14 -
Ikarus T3.1.1.45.0 2008.12.14 -
K7AntiVirus 7.10.553 2008.12.13 -
Kaspersky 7.0.0.125 2008.12.14 -
McAfee 5463 2008.12.13 -
McAfee+Artemis 5463 2008.12.13 -
Microsoft 1.4205 2008.12.14 Trojan:Win32/Vundo.gen!G
NOD32 3689 2008.12.14 -
Norman 5.80.02 2008.12.12 W32/Virtumonde.AFQU
Panda 9.0.0.4 2008.12.14 Spyware/Virtumonde
PCTools 4.4.2.0 2008.12.14 -
Prevx1 V2 2008.12.14 -
Rising 21.07.62.00 2008.12.14 Trojan.DL.Win32.Undef.cft
SecureWeb-Gateway 6.7.6 2008.12.12 Trojan.Crypt.XPACK.Gen
Sophos 4.36.0 2008.12.14 Troj/Virtum-Gen
Sunbelt 3.2.1801.2 2008.12.11 Virtumonde
Symantec 10 2008.12.14 Trojan.Vundo
TheHacker 6.3.1.4.187 2008.12.13 -
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.13 -
ViRobot 2008.12.12.1515 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.13 -

weitere Informationen
File size: 93832 bytes
MD5...: fcb901f3941add6e1bff311c73213a2e
SHA1..: 15490e3b424b4d4e57f824ad92f45fed2834547c
SHA256: 2745afa986206cb5eec2e9cccd0fea2df175cdaf69232329a774d4e64d624c78
SHA512: f0156d74e41fb8b923a594f4b7dffda350b53ab39055aee52e69115834633074 0a99ebf43e593578344226ec06dc00ca147ff0f2e78aaa7a0d0d79cbb6dc2b05 
ssdeep: 1536

XSgWHS4q4+Pqw1r4++3MMa2THltKPg0yxXs+HiHJF7IcDV5Aeezf7PqA1p 4vqDs

i5qKwd4hMRuKPg0Cs+CpBIg0eMbp4ig 
PEiD..: -
TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001208 timedatestamp.....: 0x3b7dfe99 (Sat Aug 18 05:35:21 2001) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x538a 0x5400 7.92 2f5a466fd45ca04a1d6a39c53d2c47e8 .rdata 0x7000 0xb7ab 0xb800 7.97 d1cf506082177db778f2828a701b0d7e .data 0x13000 0x5611 0x5000 7.95 218ed23bef32566896aed7d80e1cad2a .rsrc 0x19000 0x410 0x600 2.46 d29994fb0eb76d6023ba85760469f1e4 .reloc 0x1a000 0x7384 0x800 0.78 204b5454a6a86ba6a29c2eab21ca4a26 ( 4 imports ) > user32.dll: ToAscii, FillRect > KERNEL32.dll: LoadLibraryW, SetHandleCount, ExitProcess, FreeEnvironmentStringsW, GetACP, GetEnvironmentStringsA, GetTimeZoneInformation, GetUserDefaultLCID, LocalFree > advapi32.dll: RegSetValueExW, RegCloseKey > comdlg32.dll: GetOpenFileNameW, GetFileTitleW ( 0 exports ) 

Datei yujukaku.dll empfangen 2008.12.14 15:18:11 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.2 2008.12.14 -
AntiVir 7.9.0.45 2008.12.12 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.12.13 -
Avast 4.8.1281.0 2008.12.13 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.13 BHO.GPY
BitDefender 7.2 2008.12.14 -
CAT-QuickHeal 10.00 2008.12.13 -
ClamAV 0.94.1 2008.12.14 -
Comodo 749 2008.12.13 -
DrWeb 4.44.0.09170 2008.12.14 -
eSafe 7.0.17.0 2008.12.14 Suspicious File
eTrust-Vet 31.6.6258 2008.12.12 -
Ewido 4.0 2008.12.14 -
F-Prot 4.4.4.56 2008.12.12 -
F-Secure 8.0.14332.0 2008.12.14 Trojan.Win32.Agent.aubg
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.14 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2008.12.14 -
K7AntiVirus 7.10.553 2008.12.13 -
Kaspersky 7.0.0.125 2008.12.14 Trojan.Win32.Agent.aubg
McAfee 5463 2008.12.13 -
McAfee+Artemis 5463 2008.12.13 -
Microsoft 1.4205 2008.12.14 Trojan:Win32/Vundo.gen!AI
NOD32 3689 2008.12.14 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.14 Suspicious file
PCTools 4.4.2.0 2008.12.14 -
Prevx1 V2 2008.12.14 -
Rising 21.07.62.00 2008.12.14 Trojan.Win32.VUNDO.byt
SecureWeb-Gateway 6.7.6 2008.12.12 Trojan.Crypt.XPACK.Gen
Sophos 4.36.0 2008.12.14 Troj/Virtum-Gen
Sunbelt 3.2.1801.2 2008.12.11 Virtumonde
Symantec 10 2008.12.14 Trojan.Vundo
TheHacker 6.3.1.4.187 2008.12.13 -
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.13 -
ViRobot 2008.12.12.1514 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.13 -

weitere Informationen
File size: 88726 bytes
MD5...: 7ff9ee41c73ffe594ed77510218e6601
SHA1..: b32a9e5714640d0773940245cba02293e14724d3
SHA256: d54f42dd56ae2611f4fadb570f68736e18699a003da8668cfc4cb6f47483ff2e
SHA512: 499829f4088e7dd53c3dd4a02157f46a7569482c012fe06289453bae1d9bee45 3e95311fe12f37f1b0490d7b8d2a0541ffd60d6af958f21308e16ff711f68190 
ssdeep: 1536:iCitTdWBw6RkR+x4hwMt5MfcwH6pCozYVxsCDo7SQSoz2gfl/85QpOigsP3 VtJ:iCoTdW+X+ONWtHuUV9LQSBE8KPZ3VtJ 
PEiD..: -
TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100010fc timedatestamp.....: 0x3b7dfe99 (Sat Aug 18 05:35:21 2001) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x58c4 0x5a00 7.90 badb635c244352769c9941e146f3b4b0 .rdata 0x7000 0x579e 0x5800 7.89 d50d34a950b8ccdb7c109e73509a2968 .data 0xd000 0x9c83 0x9600 7.99 eb4a13396f706a72c4863ae363d9375f .rsrc 0x17000 0x410 0x600 2.46 de2193d551e2adf36f6280c0a484d56b .reloc 0x18000 0x8327 0x800 0.90 a32361fc62dcba337ff52577c8ad74a1 ( 4 imports ) > user32.dll: ToAscii, FillRect > KERNEL32.dll: LoadLibraryW, SetHandleCount, ExitProcess, FreeEnvironmentStringsW, GetACP, GetEnvironmentStringsA, GetTimeZoneInformation, GetUserDefaultLCID, LocalFree > advapi32.dll: RegSetValueExW, RegCloseKey > comdlg32.dll: GetOpenFileNameW, GetFileTitleW ( 0 exports ) 

Datei s47jn7P3.dll empfangen 2008.12.14 15:25:57 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.2 2008.12.14 -
AntiVir 7.9.0.45 2008.12.12 TR/Agent.arzx
Authentium 5.1.0.4 2008.12.13 -
Avast 4.8.1281.0 2008.12.13 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.12.13 -
BitDefender 7.2 2008.12.14 Trojan.Generic.1223140
CAT-QuickHeal 10.00 2008.12.13 Trojan.Agent.arzx
ClamAV 0.94.1 2008.12.14 -
Comodo 749 2008.12.13 TrojWare.Win32.Agent.arzx
DrWeb 4.44.0.09170 2008.12.14 -
eSafe 7.0.17.0 2008.12.14 Win32.Agent.arzx
eTrust-Vet 31.6.6258 2008.12.12 -
Ewido 4.0 2008.12.14 -
F-Prot 4.4.4.56 2008.12.13 -
F-Secure 8.0.14332.0 2008.12.14 Trojan.Win32.Agent.arzx
Fortinet 3.117.0.0 2008.12.14 W32/Agent.ARZX!tr
GData 19 2008.12.14 Trojan.Generic.1223140
Ikarus T3.1.1.45.0 2008.12.14 Trojan.Win32.Agent
K7AntiVirus 7.10.553 2008.12.13 -
Kaspersky 7.0.0.125 2008.12.14 Trojan.Win32.Agent.arzx
McAfee 5463 2008.12.13 Generic Downloader.x
McAfee+Artemis 5463 2008.12.13 Generic Downloader.x
Microsoft 1.4205 2008.12.14 TrojanDownloader:Win32/Obvod.D
NOD32 3689 2008.12.14 probably a variant of Win32/TrojanClicker.Agent.NEB
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.14 Generic Trojan
PCTools 4.4.2.0 2008.12.14 -
Prevx1 V2 2008.12.14 Malicious Software
Rising 21.07.62.00 2008.12.14 Trojan.Win32.Undef.scn
SecureWeb-Gateway 6.7.6 2008.12.12 Trojan.Agent.arzx
Sophos 4.36.0 2008.12.14 Mal/Generic-A
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.14 Trojan Horse
TheHacker 6.3.1.4.187 2008.12.13 -
TrendMicro 8.700.0.1004 2008.12.12 TROJ_BHO.LY
VBA32 3.12.8.10 2008.12.13 -
ViRobot 2008.12.12.1515 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.13 -

weitere Informationen
File size: 31232 bytes
MD5...: 2a34d5a130b3dbea1ebbc49a148c70da
SHA1..: 7ae5e32369ed5f304e0e71cb0f6b6b0a43dc8811
SHA256: d66dd1d475adf94267b349859e20d51acf519ef4fab1bc969130620b62e1731c
SHA512: f4904704df62074694637f9c0e0dcd74b81ec75e457f61881fe7fd9179a9311a babf9d820d4ae1dfb4aa374fbf166ee8a1bb9c321537763a0a071e6d45c66665 
ssdeep: 384:qXAH50sb8k1fe9G2KBuEy/QcPfsUrx2/7G5Whl7TdTHEY0ZxOK7yrNyLq1JT x5rN:Pj8k6yuz/QcnsUrC7+MXNHmxOSGNJ/ 
PEiD..: -
TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10015d80 timedatestamp.....: 0x492c143b (Tue Nov 25 15:05:31 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xf000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x10000 0x6000 0x6000 7.87 c54d77a4c188fc2dcca0e43226499e8c .rsrc 0x16000 0x2000 0x1600 4.84 b5c75c23ad3565e2ad9e05eee41a716c ( 10 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree > ADVAPI32.dll: RegCloseKey > ATL80.DLL: - > MSVCP80.dll: __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ > MSVCR80.dll: free > ole32.dll: CoInitialize > OLEAUT32.dll: - > SHLWAPI.dll: StrStrW > USER32.dll: wsprintfA > WININET.dll: InternetOpenW ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer 
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2A64148200F2D3967A5800AC3CB6CE0095B6D37A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2A64148200F2D3967A5800AC3CB6CE0095B6D37A</a>
packers (F-Prot): UPX
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2a34d5a130b3dbea1ebbc49a148c70da' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2a34d5a130b3dbea1ebbc49a148c70da</a>

Chris4You · 15.12.2008, 10:12

Hi,

unbedingt noch die angegebenen Scans durchführen (MAM und Prevx)...

chris

Didymus · 16.12.2008, 21:39

So, sorry, das ich mich so unregelmäßig melde, hab in letzter zeit bisschen Stress

Naja, hab jetzt die drei Datein, bei denen der Virusscan nmicht anschlug mit Avenger behandelt.
Leider ist der PC beim Neustarten erst hängen geblieben, ich hab ihn dan Mit dem "Ausschaltknopf" wieder komplett ausgeschaltet und hab gedacht jetzt ist alles umsonst. Als ich ihn dann aber wieder hochgefahren hab war das aufm Desktop:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\waziroto.dll" not found!
Deletion of file "C:\WINDOWS\system32\waziroto.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\gelapele.dll" not found!
Deletion of file "C:\WINDOWS\system32\gelapele.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\rutobuki.dll" not found!
Deletion of file "C:\WINDOWS\system32\rutobuki.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gewowizusa" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|7ccd6f3b" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|CPM7ffe5ca7" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Weiß nicht ob das gut istich hoffe schon.

Mach jetzt die Liste weiter durch...

Chris4You · 19.12.2008, 14:58

Hi,

Oaky, poste dann die LOGs und ein neues HJ-Log...

chris

Didymus · 23.12.2008, 19:05

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1535
Windows 5.1.2600 Service Pack 2

23.12.2008 18:45:56
mbam-log-2008-12-23 (18-45-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 257907
Laufzeit: 2 hour(s), 29 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\jejuvusu.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\nasiliyu.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b7dd347c-c024-4e8e-942b-34b9d32405ce} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b7dd347c-c024-4e8e-942b-34b9d32405ce} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{e81cf86b-f683-422a-b742-3f2427ea9d6a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm7ffe5ca7 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gewowizusa (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\jejuvusu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jejuvusu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\jejuvusu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\nasiliyu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\nasiliyu.dll -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jumidani.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\inadimuj.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\subabala.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\alababus.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\nasiliyu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hiyoluge.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jejuvusu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081223-155357-621.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081223-160025-790.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20081223-160945-450.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{41D8B9B9-8B25-4237-85D7-BB1E69374815}\RP888\A0305410.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bohusika.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gusogire.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kumiberu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yuhefala.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\q71hl1N6.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:07, on 23.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://www.gatheringofdevelopers.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [gewowizusa] Rundll32.exe "C:\WINDOWS\system32\hiyoluge.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs:
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 9960 bytes

q71hl1N6.exe lässt Popups erscheinen?

Plagegeister aller Art und deren Bekämpfung: q71hl1N6.exe lässt Popups erscheinen?