Firefox öffnet sich von selbst

Trucklights · 14.12.2008, 19:09

Hallo

Ich hab mich bei euch angemeldet da ich hier hoffendlich hilfe finde.
Problem ist folgendes:

Sobald ich Firefox öffne meldet sich meine Sunbelt Personal Firewall mit der Meldung:Eindringversuch blockiert.
Darunter steht noch das das ganze irgentwie mit der Datei C:\Windows\system32\lsass.exe zusammenhängt.

Wenn ich im Firefox ein neues Fenster öffne, öffnet sich auch gleich ein zweites das dann aber weiß bleibt.

Bei der Suche im Forum bin ich noch nicht auf viel brauchbares für meinen Fall gestoßen(Oder ich habs nicht verstanden

)

Ich hab mal einen hijack gemacht und da kam folgendes raus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:58, on 14.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\T******s\Desktop\utorrent1.6.1.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\T******s\Desktop\HiJackThis.exe

O2 - BHO: (no name) - {09268BF8-2816-4716-91CA-0B6B72460AB7} - C:\WINDOWS\System32\geBssspO.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {77AB59B4-55A3-4737-9FD5-B93C6430BF78} - C:\WINDOWS\System32\jtfccadq.dll
O2 - BHO: (no name) - {A42840B6-C76E-4C99-A12D-3DAD614C8C37} - C:\WINDOWS\System32\geBTJyWm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [uTorrent] "C:\Dokumente und Einstellungen\T*****s\Desktop\utorrent1.6.1.exe"
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [µTorrent] "C:\Dokumente und Einstellungen\T*****s\Desktop\utorrent1.6.1.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CF887F-5E34-4B91-8F18-62A18B5C2898}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: xmqwjl.dll
O20 - Winlogon Notify: geBssspO - C:\WINDOWS\SYSTEM32\geBssspO.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 4379 bytes

Wenn es lösungen gibt dann bitte ganz einfach und langsam schreiben,ich bin zwar lernfähig aber das ist alles neuland für mich.

Franz1968 · 14.12.2008, 19:20

Hallo,

dein Rechner ist sicherheitstechnisch auf dem Stand von vor ein paar Jahren:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Inzwischen gibt es nämlich das SP 3 und den Internet Explorer 7. Wenn dann noch Schädlingsbefall dazu kommt, sollte man eigentlich die Gelegenheit nutzen und das System neu aufsetzen und absichern.

Trucklights · 14.12.2008, 19:26

Ja ich weiß er ist halt nicht mehr der Jüngste.
Ich möchte ihn nicht neu aufsetzen da ich das vor ca 2 monaten gemacht habe.
Von den Service packs halte ich nicht viel den immer wenn ich sie gemacht habe(vor dem neu aufsetzen)Ging nicht mehr viel.
Ich weiß nicht ob ich es jetzt nochmal mit den Service Packs versuchen soll oder wirklich neu aufsetzen?

Oder gibts vieleicht ein paar andere lösungen?

Franz1968 · 14.12.2008, 19:36

Neu aufsetzen ist empfohlen.

Ohne Gewähr für Deine Daten und ohne Erfolgsgarantie kannst du Folgendes versuchen:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\System32\geBssspO.dll
C:\WINDOWS\System32\jtfccadq.dll
C:\WINDOWS\System32\geBTJyWm.dll
C:\WINDOWS\System32\xmqwjl.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste danach auch ein neues HijackThis-Logfile.

Trucklights · 14.12.2008, 19:48

Ok ich hab es mal versucht

Avenger text:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System32\geBssspO.dll" deleted successfully.
File "C:\WINDOWS\System32\jtfccadq.dll" deleted successfully.
File "C:\WINDOWS\System32\geBTJyWm.dll" deleted successfully.
File "C:\WINDOWS\System32\xmqwjl.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:44:51, on 14.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe

O2 - BHO: (no name) - {09268BF8-2816-4716-91CA-0B6B72460AB7} - C:\WINDOWS\System32\geBssspO.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {77AB59B4-55A3-4737-9FD5-B93C6430BF78} - C:\WINDOWS\System32\jtfccadq.dll (file missing)
O2 - BHO: (no name) - {A42840B6-C76E-4C99-A12D-3DAD614C8C37} - C:\WINDOWS\System32\geBTJyWm.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [uTorrent] "C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe"
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [µTorrent] "C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CF887F-5E34-4B91-8F18-62A18B5C2898}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: xmqwjl.dll
O20 - Winlogon Notify: geBssspO - geBssspO.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 4470 bytes

Das gute ist wenn ich denn Explorer öffne meldet sich meine Firewall nicht mehr.Und es werden auch keine Neuen Fenster geöffnet

War es das Jetzt?

Franz1968 · 14.12.2008, 20:01

Nein.

Fixe mit HijackThis zunächst die folgenden Einträge:

Zitat:

Zitat von Trucklights

O2 - BHO: (no name) - {09268BF8-2816-4716-91CA-0B6B72460AB7} - C:\WINDOWS\System32\geBssspO.dll (file missing)
O2 - BHO: (no name) - {77AB59B4-55A3-4737-9FD5-B93C6430BF78} - C:\WINDOWS\System32\jtfccadq.dll (file missing)
O2 - BHO: (no name) - {A42840B6-C76E-4C99-A12D-3DAD614C8C37} - C:\WINDOWS\System32\geBTJyWm.dll (file missing)
O20 - AppInit_DLLs: xmqwjl.dll
O20 - Winlogon Notify: geBssspO - geBssspO.dll (file missing)

Folge dann dieser und danach dieser Anleitung. Poste den Report von Malwarebytes.

Edit: BTW: Von allem, was Bitcomet, Torrent und ähnlich heißt, solltest du dich IMHO trennen (= deinstallieren).

Trucklights · 14.12.2008, 22:46

gut alles gemacht

Hier der Bericht von malware:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1500
Windows 5.1.2600 Service Pack 1

14.12.2008 22:44:44
mbam-log-2008-12-14 (22-44-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 63587
Laufzeit: 15 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\hgGARkjH.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Franz1968 · 14.12.2008, 22:53

Du solltest jetzt das Service Pack 3 für XP aufspielen und die nachfolgenden Updates, sonst ist die Bereinigung sinnlos. Wenn du das getan hast, poste bitte ein neues HijackThis-Logfile. Im Anschluss stehen noch ein paar Scans an.

Trucklights · 14.12.2008, 23:28

Ok sp3 ist drauf

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:17, on 14.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Dokumente und Einstellungen\Trucklights\Desktop\HiJackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [uTorrent] "C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe"
O4 - HKCU\..\Run: [µTorrent] "C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CF887F-5E34-4B91-8F18-62A18B5C2898}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 4362 bytes

Franz1968 · 14.12.2008, 23:58

Wie gesagt, du solltest unbedingt deine Torrent-Programme deinstallieren, damit wir uns hier nicht so bald wiedersehen.

Außerdem die Sunbelt-Firewall deinstallieren und statt dessen die Windows-eigene Firewall aktivieren.

Schließlich noch diese 4 Schritte:

Lade dieses MBR-Toolauf deinen Desktop, starte es und poste die Ausgabe
Blacklight ausführen und Logfile posten.
Mach auch ein Filelisting mit diesem script:
- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

Ich schau mir die Logs dann morgen an.

Trucklights · 15.12.2008, 08:28

Zitat:

Lade dieses MBR-Toolauf deinen Desktop, starte es und poste die Ausgabe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

F-Secure Blacklight hat nichts gefunden vieleicht hat er mir deshalb auch keine Logfile gezeigt.

Oder ist es die:
12/15/08 08:12:21 [Info]: BlackLight Engine 2.2.1092 initialized
12/15/08 08:12:21 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/15/08 08:12:21 [Note]: 7019 4
12/15/08 08:12:21 [Note]: 7005 0
12/15/08 08:12:24 [Note]: 7006 0
12/15/08 08:12:24 [Note]: 7011 680
12/15/08 08:12:25 [Note]: 7035 0
12/15/08 08:12:25 [Note]: 7026 0
12/15/08 08:12:25 [Note]: 7026 0
12/15/08 08:12:26 [Note]: FSRAW library version 1.7.1024
12/15/08 08:17:37 [Note]: 7007 0

File-Upload.net - listing.txt

HiJackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:26:25, on 15.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [uTorrent] "C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe"
O4 - HKCU\..\Run: [µTorrent] "C:\Dokumente und Einstellungen\***\Desktop\utorrent1.6.1.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CF887F-5E34-4B91-8F18-62A18B5C2898}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 3692 bytes

Es sind da noch immer 2 Dateien mit Utorrent dabei obwohl ich ihn eigendlich gelöscht hab.

Franz1968 · 15.12.2008, 15:56

Lass bitte jetzt noch COMBOFIX durchlaufen und Reste beseitigen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Trucklights · 15.12.2008, 16:31

So alles gemacht und der Pc Funktioniert noch

ComboFix 08-12-14.05 - *** 2008-12-15 16:25:09.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1727 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-11-15 bis 2008-12-15 ))))))))))))))))))))))))))))))
.

2008-12-14 23:35 . 2008-10-16 02:00 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll
2008-12-14 23:35 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll
2008-12-14 23:35 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll
2008-12-14 23:35 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll
2008-12-14 23:35 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-12-14 23:31 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-12-14 23:29 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-12-14 23:29 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-12-14 23:29 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-12-14 23:29 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-12-14 23:29 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2008-12-14 23:28 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2008-12-14 23:28 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-12-14 23:28 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2008-12-14 23:27 . 2008-12-15 07:28 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-14 23:27 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-12-14 23:27 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-12-14 23:23 . 2008-12-14 23:23 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2008-12-14 23:16 . 2008-12-14 23:16 <DIR> d-------- c:\windows\system32\de-de
2008-12-14 23:14 . 2008-12-14 23:14 <DIR> d-------- c:\windows\ServicePackFiles
2008-12-14 23:12 . 2007-08-10 20:44 26,488 --a------ c:\windows\system32\spupdsvc.exe
2008-12-14 23:12 . 2006-12-29 00:31 19,569 --a------ c:\windows\002511_.tmp
2008-12-14 23:10 . 2008-12-14 23:10 <DIR> d-------- c:\windows\EHome
2008-12-14 22:27 . 2008-12-14 22:27 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-14 22:27 . 2008-12-14 22:27 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-12-14 22:27 . 2008-12-14 22:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-14 22:27 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-14 22:27 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-14 20:30 . 2008-12-14 20:30 <DIR> d-------- c:\programme\CCleaner
2008-12-14 20:29 . 2008-12-14 20:29 <DIR> d-------- c:\programme\Yahoo!
2008-12-14 12:14 . 2008-12-14 18:39 <DIR> d-------- C:\Games
2008-12-13 16:04 . 2008-12-13 16:04 16,932 --a------ c:\windows\desctemp.dat
2008-12-13 11:05 . 2008-12-13 11:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-12-13 10:59 . 2008-12-13 10:59 <DIR> d-------- c:\programme\IVT Corporation
2008-12-13 10:59 . 2008-04-14 00:49 146,048 --a------ c:\windows\system32\drivers\portcls.sys
2008-12-13 10:59 . 2008-04-14 00:15 60,160 --a------ c:\windows\system32\drivers\drmk.sys
2008-12-13 10:59 . 2008-12-13 11:00 32 --a------ c:\windows\0
2008-12-13 10:59 . 2008-12-13 10:59 0 --a------ c:\windows\system32\0
2008-12-08 07:18 . 2008-12-15 08:04 <DIR> d-------- C:\Downloads
2008-11-30 10:06 . 2008-04-14 07:28 37,632 --a------ c:\windows\system32\drivers\isapnp.sys
2008-11-30 10:05 . 2003-11-17 10:33 1,175,552 --a------ c:\windows\system32\nview.dll
2008-11-30 10:05 . 2003-11-17 10:33 1,007,616 --a------ c:\windows\system32\nviewimg.dll
2008-11-30 10:05 . 2003-11-17 10:33 753,664 --a------ c:\windows\system32\nwiz.exe
2008-11-30 10:05 . 2003-11-17 10:33 450,560 --a------ c:\windows\system32\nvshell.dll
2008-11-30 10:05 . 2003-11-17 10:33 397,312 --a------ c:\windows\system32\nvappbar.exe
2008-11-30 10:05 . 2003-11-17 10:33 73,728 --a------ c:\windows\system32\nvtuicpl.cpl
2008-11-29 08:55 . 2008-11-29 08:55 <DIR> dr-h----- C:\MSOCache
2008-11-24 18:52 . 2008-11-24 18:52 <DIR> d-------- c:\programme\GR Careditor Tutorial
2008-11-21 18:57 . 2008-11-21 18:57 <DIR> dr-h----- c:\dokumente und einstellungen\***\Anwendungsdaten\SecuROM
2008-11-21 18:57 . 2008-11-21 21:36 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Red Alert 3
2008-11-21 18:57 . 2008-11-21 18:57 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-11-21 18:35 . 2008-11-21 18:35 <DIR> d-------- c:\programme\Electronic Arts
2008-11-21 18:35 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll
2008-11-21 18:35 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll
2008-11-21 18:35 . 2007-07-19 18:14 1,358,192 --a------ c:\windows\system32\D3DCompiler_35.dll
2008-11-21 18:35 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll
2008-11-21 18:35 . 2007-07-19 18:14 444,776 --a------ c:\windows\system32\d3dx10_35.dll
2008-11-21 15:49 . 2008-11-21 15:49 <DIR> d-------- c:\programme\Sunbelt Software
2008-11-16 09:34 . 2008-11-16 09:34 <DIR> d-------- c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\Hewlett-Packard
2008-11-15 23:11 . 2008-11-25 22:16 <DIR> d--h----- c:\programme\InstallShield Installation Information
2008-11-15 23:11 . 2002-08-28 13:43 73,728 --a------ c:\windows\Dit.exe
2008-11-15 23:11 . 2002-07-12 10:29 65,536 --a------ c:\windows\DitExp.exe
2008-11-15 23:11 . 2002-08-28 00:13 65,536 --------- c:\windows\Dit.DLL
2008-11-15 23:11 . 2002-06-21 23:55 208 --------- c:\windows\Dit.INI
2008-11-15 23:11 . 2002-08-16 20:59 138 --------- c:\windows\ICCLR.INF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-15 15:24 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\Skype
2008-12-15 15:23 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\uTorrent
2008-12-15 15:14 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\skypePM
2008-12-15 07:07 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-13 12:56 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\dvdcss
2008-11-21 16:45 --------- d-----w c:\programme\TransportGigant
2008-11-21 16:45 --------- d-----w c:\programme\OpenTTD
2008-11-13 20:57 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-11-13 20:57 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-11-13 20:57 --------- d-----w c:\programme\Real
2008-11-13 20:57 --------- d-----w c:\programme\Gemeinsame Dateien\xing shared
2008-11-13 20:57 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2008-11-13 20:53 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\concept design
2008-11-13 20:51 --------- d-----w c:\programme\concept design
2008-11-09 21:35 82,380 ----a-w c:\windows\system32\drivers\AFS2K.SYS
2008-11-09 21:35 --------- d-----w c:\programme\Hewlett-Packard
2008-11-09 21:33 --------- d-----w c:\programme\Gemeinsame Dateien\Hewlett-Packard
2008-11-07 18:47 43,520 ----a-w c:\windows\system32\CmdLineExt03.dll
2008-11-05 19:27 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\vlc
2008-11-05 19:25 --------- d-----w c:\programme\VideoLAN
2008-11-02 12:08 --------- d-----w c:\programme\Microsoft Works
2008-11-02 11:01 --------- d-----w c:\programme\NOS
2008-11-02 11:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-02 11:00 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-01 16:30 --------- d-----w c:\programme\Skype
2008-11-01 16:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2008-11-01 16:29 --------- d-----w c:\programme\Gemeinsame Dateien\Skype
2008-11-01 16:24 --------- d-----w c:\dokumente und einstellungen\Trucklights\Anwendungsdaten\Ahead
2008-11-01 16:18 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2008-11-01 16:18 --------- d-----w c:\programme\Ahead
2008-11-01 16:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-11-01 16:14 --------- d-----w c:\programme\C-Media 3D Audio
2008-11-01 16:03 --------- d-----w c:\programme\microsoft frontpage
2008-11-01 16:02 --------- d-----w c:\programme\Online-Dienste
2008-11-01 16:01 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:00 671,744 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2001-11-23 11:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-11-17 3022848]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"nwiz"="nwiz.exe" [2003-11-17 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-11-16 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1226306338.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-uTorrent - c:\dokumente und einstellungen\***\Desktop\utorrent1.6.1.exe
HKCU-Run-µTorrent - c:\dokumente und einstellungen\***\Desktop\utorrent1.6.1.exe

.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
TCP: {43CF887F-5E34-4B91-8F18-62A18B5C2898} = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ig680474.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.eye-of-judgment.eu/index.php?option=com_fireboard&Itemid=84
FF - plugin: c:\programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 16:25:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-15 16:26:35
ComboFix-quarantined-files.txt 2008-12-15 15:26:20
ComboFix2.txt 2008-12-15 15:15:02

Vor Suchlauf: 15 Verzeichnis(se), 39.838.937.088 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 39,832,875,008 Bytes frei

178 --- E O F --- 2008-12-15 06:28:42

Bin ich jetzt soweit?

Franz1968 · 15.12.2008, 18:14

Zitat:

Zitat von Trucklights

Bin ich jetzt soweit?

Nö.

Sieht aber schon ganz gut aus.
Gehe zu Virustotal und scanne nacheinander jede der folgenden Dateien:

Zitat:

c:\windows\002511_.tmp
c:\windows\desctemp.dat
c:\windows\ICCLR.INF
c:\windows\0
c:\windows\system32\0
c:\windows\system32\mWyJTBeg.ini
c:\windows\system32\mWyJTBeg.ini2
c:\windows\system32\pmpmdkxl.dll
c:\windows\system32\ezsidmv.dat

Poste jeweils das komplette Ergebnis.

Aktualisiere auch unbedingt deinen Internet Explorer. Version 7 ist aktuell. Auch wenn du lobenswerterweise mit dem Firefox surfst, muss der Internet Explorer aktuell gehalten werden, da er ein Bestandteil des Betriebssystems ist.

Trucklights · 15.12.2008, 18:56

Buhhh na dann ok

c:\windows\002511_.tmp:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.15.3 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.15 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.14 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.15 Malicious Software
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 19569 bytes
MD5...: 8737f6f4c8ec1e2a9ea5516f1b3ae1ad
SHA1..: dc4a321cfa7f5f269134932e6bda90badd8974ba
SHA256: 831e2030a051703f571ef7fa7f663dc322cd99e2c431d77f6eabc738e34742f0
SHA512: 652a70c6160085fc22c8031c925274be692ed54bbea4ddb9404b011e85f3ae50
39c9e267bf8fa05febc45e1c24573c5e33f5cdd83721775821c2fe0d822c82aa
ssdeep: 96:svxnoEQS2YzaW1WibYQN/VtVCV5VeVyDFgkT8Et0qXOilF1TPj6l+NmhR8Ya/
XPi:svhfII1cMxnXRwxl/9WV
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8737F6F471C8EC1E4C2A009EA5516F001B3AE1AD' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8737F6F471C8EC1E4C2A009EA5516F001B3AE1AD</a>

c:\windows\desctemp.dat:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.16.0 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.14 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.15 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.15 -
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.10 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 16932 bytes
MD5...: dcb415024f233d5f11d893d635fc5b69
SHA1..: c211a511608adec932b17413599cbc9a947bcf6e
SHA256: ad1c7ee92d4c80137870681c3cc93072995f34ef7d677fe88fb72b0b2598e5ed
SHA512: 559195ca666261eb9b85237be075e6775b2419357325f91e11398a23ce0f024b
0f7d0576f6323d66bd2e81df6eb329d0d1427a366d1a52d6e1b0a3235291c1b2
ssdeep: 384

N7BXg+dGaJH+pcHAFOpqEu0T6qgsbo4WR1/ZVz

N7BXg+dGaJH+puAFOpq
Eu0eqgsbo4at
PEiD..: -
TrID..: File type identification
Sybase iAnywhere database files (51.3%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (18.9%)
Targa bitmap (Original TGA Format) (18.9%)
MS Flight Simulator Aircraft Performance Info (10.8%)
PEInfo: -

c:\windows\ICCLR.INF:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.16.0 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.14 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.15 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.15 -
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 138 bytes
MD5...: 864782a01904847d10978bbca767f997
SHA1..: 3da9bf3d9750cb9accbd1c1bf786e8cecb0e52d6
SHA256: 81d418d2a20ad225c65fedbe1db37c3b115a5442a4ad278a7b9d1cee11ee1b78
SHA512: 9f652949d214bdf41add2acffa790ffb8cb49ffa3e5452ce90f4100ff814d7df
ef1d4e2decca4b2168e858f4d648d0225340dbcdf18460c658bd477175f7875d
ssdeep: 3:5doMYTVUr/5zh6Or/Szsh+Ur/3+qq7ATT1A4PLeRCsTPwv:8MYZUNoO2zs0Uj3
q0n1AkLe0sTa
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

c:\windows\0 :
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.16.0 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.15 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.15 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.15 -
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 32 bytes
MD5...: 87e5aae1aa9431ef1ddedc46d2145bdb
SHA1..: 0fa4a63a2642f7287940fd6539051a75c26f61bc
SHA256: 29671cce26822b6d39fba3223eb959ce707eba3ab622192b813bf98e09ec2d9a
SHA512: 3528e3cac342ca8db3ab599dd08ec425857ecb4cee4c9f91d09e60d9643afe25
f2ad25fc17273132302ff724045c8d212a1c00c859806a4bceb241a7c682c013
ssdeep: 3:fH3zc3vYvU:/zc3v6U
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.16.0 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.14 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.15 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.15 -
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 32 bytes
MD5...: 87e5aae1aa9431ef1ddedc46d2145bdb
SHA1..: 0fa4a63a2642f7287940fd6539051a75c26f61bc
SHA256: 29671cce26822b6d39fba3223eb959ce707eba3ab622192b813bf98e09ec2d9a
SHA512: 3528e3cac342ca8db3ab599dd08ec425857ecb4cee4c9f91d09e60d9643afe25
f2ad25fc17273132302ff724045c8d212a1c00c859806a4bceb241a7c682c013
ssdeep: 3:fH3zc3vYvU:/zc3v6U
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

c:\windows\system32\0 :
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.16.0 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.14 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.15 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Prevx1 V2 2008.12.15 Malicious Software
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 19569 bytes
MD5...: 8737f6f4c8ec1e2a9ea5516f1b3ae1ad
SHA1..: dc4a321cfa7f5f269134932e6bda90badd8974ba
SHA256: 831e2030a051703f571ef7fa7f663dc322cd99e2c431d77f6eabc738e34742f0
SHA512: 652a70c6160085fc22c8031c925274be692ed54bbea4ddb9404b011e85f3ae50
39c9e267bf8fa05febc45e1c24573c5e33f5cdd83721775821c2fe0d822c82aa
ssdeep: 96:svxnoEQS2YzaW1WibYQN/VtVCV5VeVyDFgkT8Et0qXOilF1TPj6l+NmhR8Ya/
XPi:svhfII1cMxnXRwxl/9WV
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8737F6F471C8EC1E4C2A009EA5516F001B3AE1AD' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8737F6F471C8EC1E4C2A009EA5516F001B3AE1AD</a>

c:\windows\system32\mWyJTBeg.ini ,
c:\windows\system32\mWyJTBeg.ini2 und c:\windows\system32\pmpmdkxl.dll: Kann er nicht finden

:

c:\windows\system32\ezsidmv.dat :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.16.0 2008.12.15 -
AntiVir 7.9.0.45 2008.12.15 -
Authentium 5.1.0.4 2008.12.15 -
Avast 4.8.1281.0 2008.12.15 -
AVG 8.0.0.199 2008.12.15 -
BitDefender 7.2 2008.12.15 -
CAT-QuickHeal 10.00 2008.12.15 -
ClamAV 0.94.1 2008.12.15 -
Comodo 754 2008.12.14 -
DrWeb 4.44.0.09170 2008.12.15 -
eSafe 7.0.17.0 2008.12.15 -
eTrust-Vet 31.6.6261 2008.12.15 -
Ewido 4.0 2008.12.15 -
F-Prot 4.4.4.56 2008.12.15 -
F-Secure 8.0.14332.0 2008.12.15 -
Fortinet 3.117.0.0 2008.12.14 -
GData 19 2008.12.15 -
Ikarus T3.1.1.45.0 2008.12.15 -
K7AntiVirus 7.10.554 2008.12.15 -
Kaspersky 7.0.0.125 2008.12.15 -
McAfee 5464 2008.12.14 -
McAfee+Artemis 5464 2008.12.14 -
Microsoft 1.4205 2008.12.15 -
NOD32 3693 2008.12.15 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.15 -
PCTools 4.4.2.0 2008.12.15 -
Rising 21.08.02.00 2008.12.15 -
SecureWeb-Gateway 6.7.6 2008.12.15 -
Sophos 4.36.0 2008.12.15 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.15 -
TheHacker 6.3.1.4.188 2008.12.14 -
TrendMicro 8.700.0.1004 2008.12.15 -
VBA32 3.12.8.10 2008.12.15 -
ViRobot 2008.12.15.1518 2008.12.15 -
VirusBuster 4.5.11.0 2008.12.15 -
weitere Informationen
File size: 56 bytes
MD5...: 28a284a5df9ea736f4134d84b4155e92
SHA1..: 8b36483af61c01d710f93459143aa05a919c9c3e
SHA256: 2c9dc2ec6fadcf46a18b2c3172ffb10985d9a589710731c5c846af32d1b4d115
SHA512: 861c476cc3e9dcb03f75206c974632eb6573842d553981ead17aa65a87683e3e
74711d7364d6818fa4442b03069df34b4c59b46e7453644f65e8b94517924031
ssdeep: 3:SPU2idI6HdZUGaZqotPu:Ss2idI69ZhdoVu
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

Explorer aktualiesieren ist in arbeit

14.12.2008, 22:53	#8
Franz1968 /// Helfer-Team	Firefox öffnet sich von selbst Du solltest jetzt das Service Pack 3 für XP aufspielen und die nachfolgenden Updates, sonst ist die Bereinigung sinnlos. Wenn du das getan hast, poste bitte ein neues HijackThis-Logfile. Im Anschluss stehen noch ein paar Scans an. __________________ Alle Tipps und Anleitungen ohne Gewähr

Firefox öffnet sich von selbst

Log-Analyse und Auswertung: Firefox öffnet sich von selbst