hallo leute,

habe mich hier angemeldet weil ich inzwischen recht verzweifelt bin
alles hat gestern angefangen mit einer email von DHL von wegen datenbankcrash usw und nen link,ich mir nix bei gedacht - link angeklickt,adresse kontrolliert im firefox.adresse etwas merkwürdig,kurze weiterleitung über eine russische seite.da hats dann klick bei mir gemacht aber es war bereits zu spät.

habe nun das problem das iexplore.exe dauerthaft an ist und sich automatisch startet.beenden über taskmanager bringt nix - startet paar sekunden später erneut.ansich richtet es nix an aber es will alle paar sekunden nach hause telefonieren.habe bereits iexplore.exe über meine firewall komplett blockiert und lasse die exe überwachen.daher kann ich einsehen wann,wie oft und wohin die exe telefonieren will.

Remote: p5B0340D5.dip.t-dialin.net[91.3.64.213], port 3460
Deteils: Abgehend TCP, lokaler Port 1288

sobald ich eine aktion über meine tastatur ausführe wie zb. taschenrechner öffnen,einen song abspielen/pause usw. is es plötzlich so als ob mein pc eingefrohren ist,allerdings kann ich die maus noch bewegen aber nicht mehr klicken,taskmanager lässt sich öffnen aber ich kann nix machen.

habe bereits etliches probiert wie zb. Hijack This,Malwarebytes' Anti-Malware, AntiVir, Ad-Aware, Online überprüfungen usw. nix schlägt an.habe auch im abgesicherten modus alle cookies gelöscht, den inhalt vom prefetch ordner gelöscht, temp datein gelöscht usw. in der registry hab ich auch geschaut aber nix verdächtiges gefunden.

hier der log von Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:48:08, on 10.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\oodag.exe
D:\OO CleverCache\ooccag.exe
D:\Sunbelt Personal Firewall\SbPFSvc.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
D:\RocketDock\RocketDock.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Sunbelt Personal Firewall\SbPFCl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - D:\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [GMX SMS-Manager] D:\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - S-1-5-18 Startup: 2D Stromsparmodus.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: 2D Stromsparmodus.lnk = ? (User 'Default user')
O4 - Startup: 2D Stromsparmodus.lnk = ?
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll
O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - D:\OO CleverCache\ooccag.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - D:\Sunbelt Personal Firewall\SbPFSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 6280 bytes

ich hoffe ihr habt irgendwie eine idee wie ich den schädling loswerde, ich vermute das es irgend ein neuer trojaner oder sonstiges ist.

Das hörst sich gar nicht gut an.

Offensichtlich scheint dein System kompromitiert. Vieleicht findet deine AV auch den Virus nicht, weil er mit einem rootkit einhergeht.

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar...

Aber das ist jetzt erst mal Spekulation....


DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR
Falls du Onlinebanking machst, informiere deine Bank vor, halte dein Konto im Auge. Deaktiviere deinen Ebay account ( kannst du später neu aufsetzen )
Wenn du Zugriff auf einen anderen, sicheren Rechner hast, ändere deine Passwörter....

HINWEIS: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code: Alles auswählenAufklappen

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe
         

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Checken wir das Ganze erst mal von Anfang an.

Gehe wie folgt vor, lass uns erst mal herausfinden wie deine DNS eingestellt sind:

Code: Alles auswählenAufklappen

ATTFilter

Geh bitte auf START
Systemsteuerung
Netzwerk- und Internetverbindungen
Netzwerkverbindungen
Hierauf dann einen Rechtsklick und Eigenschaften anklicken. 
Hier ist dann deine aktive Netzwerkverbindung ins Internet gelistet. 
Hierauf auch einen Rechtsklick und Eigenschaften aufrufen.
         

Hier siehst du dann eine Menge Einträge. Scrolle runter bis zum Eintrag TCP/IP
drücke hier einmal mit der linken Maustaste drauf und dann auf Eigenschaften.

Schau in den Eintrag DNS Server . Ist der Eintrag DNS Server automatisch beziehen aktiviert oder siehst du darunter IP Nummern eingetragen? Dein System sollte die DNS eigentlich automatisch beziehen. Benutzt du zusätzlich einen Router?

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....
Lasse zum Abschluß alle Funde löschen

Punkt 5.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

Bitte denke daran deine Logs die du hier postest in die Code tags zu setzen, z.B.

[+Code]
dazwischen das komplette Logfile
[+/Code]

Alles natürlich ohne die + Zeichen

Ich brauche also:

1. den MBR Log
2. den Malwarebytes Log
3. den GMER Log, den du bitte hochlädst.
4. Beantworte bitte alle meine Fragen

Du brauchst:

1. Geduld

Weiteres kommt dann nach diesen Logfiles von mir.....

erstmal großes dankeschön für deine mühe die du dir machst

aktueller zwischenstand: alles durchgeführt

- DNS wird automatisch bezogen, router habe ich nicht sondern nur nen normales modem für den kabel-deutschland anschluss.

- systemwiederherstellung ist deaktiviert

- alle dateien sind sichtbar (hab ich standartmäßig an)

- CCleaner komplett durchlaufen lassen,einige sachen gefunden und behoben

- MBR.exe:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

- MalwareBytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1831
Windows 5.1.2600 Service Pack 3

10.03.2009 11:51:16
mbam-log-2009-03-10 (11-51-16).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 121737
Laufzeit: 11 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

- gmer durchlaufen lassen -> Gmer Log

sorry wegen doppelpost,aber kann meinen beitrag nich nochmal editieren

habe das problem anscheinend selbst behoben bekommen.und zwar hab ich mir das aktuelle update pack von winfuture für mein sp3 geladen weil mein letztes update pack aus dezember ist.hab es dann installiert und pc neugestartet. da gings auch gleich los - firewall meldet ersetzte anwendung Internetexplorer -> ich dauerhaft blockiert. plötzlich meldung explorer.EXE reagiert nicht mehr usw. und drwatson (?) springt an, ich gleich geblockt durch firewall. explorer hat sich dann neu gestartet, ich im taskmanager krontrolliert was da grad abgeht und -> iexplore.exe war weg.pc neugestartet, erneut taskmanager kontrollier und iexplore.exe startet nicht mehr automatisch

Herrje,

das ist nicht gut. Hättest warten sollen. Ein Rootkit kann ich bei GMER nicht erkennen. Dafür aber Sunbelt Firewall.... Hast du deine Windows Firewall nicht laufen? Wenn nicht, mach sie an, das sollte genügen......

Schalte mal Sunbelt ab, lass den CCleaner nochmal laufen und scanne nochmals mit Malwarebytes ( FULL SCAN bitte ). Poste Log hier.
Ebenso brauche ich nochmal ein frisches Hijack this...

Hijack This:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:25, on 10.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\RocketDock\RocketDock.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - D:\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [GMX SMS-Manager] D:\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - S-1-5-18 Startup: 2D Stromsparmodus.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: 2D Stromsparmodus.lnk = ? (User 'Default user')
O4 - Startup: 2D Stromsparmodus.lnk = ?
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll
O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - D:\OO CleverCache\ooccag.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - D:\Sunbelt Personal Firewall\SbPFSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 5714 bytes
         

CCleaner:

musste mehrmals scannen und beheben,nun dürfte aber alles weg sein.waren hauptsälich cookies und uninstall logs glaube

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1831
Windows 5.1.2600 Service Pack 3

10.03.2009 13:35:39
mbam-log-2009-03-10 (13-35-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 221012
Laufzeit: 32 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Na, dass sieht ja soweit gut aus.

Bitte lade folgende Files zum Virustotal hoch und lasse sie checken. Bitte poste die Ergebnisse vollständig mit Prüfsummen, Hash usw. ( letzte Einträge )
Lass auf jeden Fall checken, auch wenn dort steht das das File bereits analysiert wurde.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\FlashGet universal\ComDlls\bhoCATCH.dll
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe 
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ati2sgag.exe
         

Bitte fixe folgende Einträge mit Hijack

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
         

Was macht dein IE7?

Falls du noch Probleme hast, (Problem hatte ich nach einem Virusbefall ebenfalls ) geh auf die Microsoft Seite, suche dort nach IE7 Download und installiere ihn nochmals über deine bestehende Installation. Das sollte das Problem beheben. ( Wähle Ausführen, nicht speichern. ) Leider kann ich dir den Link nicht liefern, bin an einem anderen Rechner.....

Deinstalliere Ad Aware, das Ding ist Schrott. Stell den Avira auf agressive Einstellungen ( siehe hier Hinweis im Board )

Diese Einträge:
O4 - S-1-5-18 Startup: 2D Stromsparmodus.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: 2D Stromsparmodus.lnk = ? (User 'Default user')

Hast du dies selbst angelegt? ( das sind in der Regel Icons ) Wenn nicht, finde das Ding und lade es auch mal bei Virustotal hoch....

Danach lässt du nochmal CCleaner laufen ( ich weiss, ist mühselig)

Danach sehen wir weiter.....

CCC.exe

Code: Alles auswählenAufklappen

ATTFilter

File size: 49152 bytes
MD5...: 4c08fb7acb28689b586d986d3f5826cf
SHA1..: 8a6f1dcd11694d0c9c01dfb029861f2d46c19662
SHA256: 57f6929e44ed32c35005425c50003a9dc24fc7bf741bafe33c82c8cefa63fb2b
SHA512: 81d68e7f79875c7811a2c33a6d8fc0d2a13d6486a8c554d1c23c0e16729962ff
15ca364bf98ccb626817ae59b754edbda4474e5bbbbdd5b5ca79948c4203fcb7
ssdeep: 384:Zi6llP7aA90C41QQSXpwYXppDP0VXp0hfXpFtsTe0HZdNF:ZiWaTQQSX6YXD
0VXyhfXnSTe+ZB
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (49.3%)
Generic CIL Executable (.NET, Mono, etc.) (42.2%)
Win32 Executable Generic (4.9%)
Win16/32 Executable Delphi generic (1.1%)
Generic Win/DOS Executable (1.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30ee
timedatestamp.....: 0x494a943f (Thu Dec 18 18:19:43 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x10f4 0x2000 3.57 ac4469ed77e84796cb9525851ba0e99c
.rsrc 0x4000 0x7db8 0x8000 4.17 29c3bcd3dd125c7f44eb4c194c207c55
.reloc 0xc000 0xc 0x1000 0.01 7f5636d08f888752ea9e36a95eea0226

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
         

bhoCATCH.dll

Code: Alles auswählenAufklappen

ATTFilter

File size: 104016 bytes
MD5...: cd1c82a6d0c72e7cf99650613cb7eaed
SHA1..: 2eec3d33a96008fb017cf57539a9654ca241f9e2
SHA256: 57c133ae98d2c2c6ff8a2fc1290c76d43637d82f702aa82a9cb37f8b3e48ae1e
SHA512: 69afb54982e46677d016f6d2562fb6f2d68cdd3a63f722103f8fb52e081a5b52
7bffbe17833775f77ffb7b49a49f9fb04db049201e427dfbfed60c61f6c1f9b4
ssdeep: 1536:HD8NUvEwpzRO/lQ1xkt0ptZ31tX0X1tEyxBqskUd2p35D9AC/630KJV:HDr
v/POtQvkt2D1t8ElskUdI9AC/O1
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
DirectShow filter (50.8%)
Windows OCX File (31.1%)
Win32 Executable MS Visual C++ (generic) (9.5%)
Windows Screen Saver (3.3%)
Win32 Executable Generic (2.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xb367
timedatestamp.....: 0x489ab8c0 (Thu Aug 07 08:56:32 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaa9d 0xb000 6.30 bce4b412d527f057b67ca7cd45ce5c10
.rdata 0xc000 0x6940 0x7000 5.65 cae46f7832d35bf67cd74bd2d33f4a3b
.data 0x13000 0xabc 0x1000 3.76 656499efc82e57a7e16a3a789b3d35c7
.rsrc 0x14000 0x2380 0x3000 3.98 f667c18f4292df2f4fcba5c66dba597a
.reloc 0x17000 0xe76 0x1000 6.16 6e0cbdfa93fce394d7bdfd660f874f5e

( 7 imports )
> KERNEL32.dll: GetPrivateProfileStringA, GetPrivateProfileIntA, WritePrivateProfileStringA, GetModuleHandleA, FreeLibrary, SizeofResource, LoadResource, FindResourceA, GetLastError, LoadLibraryExA, lstrcmpiA, lstrcpynA, IsDBCSLeadByte, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, DeleteCriticalSection, GetProcAddress, lstrcpyA, lstrcatA, DebugBreak, OutputDebugStringA, FlushInstructionCache, GetCurrentProcess, DeleteFileA, CloseHandle, FlushFileBuffers, WriteFile, CreateFileA, GetTempPathA, MapViewOfFile, CreateFileMappingA, UnmapViewOfFile, GetVersionExA, FindClose, FindFirstFileA, CreateProcessA, lstrlenA, WinExec, DisableThreadLibraryCalls, InterlockedDecrement, InterlockedIncrement, GetTickCount, Sleep, lstrlenW, GetShortPathNameA, MultiByteToWideChar, WideCharToMultiByte, GetModuleFileNameA, LoadLibraryA
> USER32.dll: CharUpperA, CharLowerA, wvsprintfA, GetParent, SetForegroundWindow, SendMessageA, GetAsyncKeyState, CharLowerBuffA, IsWindow, FindWindowA, FindWindowExA, LoadStringA, wsprintfA, CharNextA
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegOpenKeyExA, RegEnumKeyExA, RegQueryInfoKeyA, RegEnumValueA, RegSetValueA, RegOpenKeyA, RegCreateKeyA, RegCloseKey
> ole32.dll: CoGetMalloc, StringFromIID, CoUninitialize, CoCreateInstance, CoInitialize, CoTaskMemFree, StringFromCLSID, CoTaskMemAlloc, CoTaskMemRealloc, StringFromGUID2, CoCreateGuid
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFileExistsA, StrStrA, SHGetValueA, PathFindFileNameA, SHDeleteValueA, SHSetValueA, SHDeleteKeyA
> MSVCRT.dll: _strdup, _adjust_fdiv, _initterm, _onexit, __dllonexit, _terminate@@YAXXZ, _except_handler3, sscanf, _mbsrchr, _mbsicmp, strcat, atoi, _ismbcdigit, _purecall, strstr, strncmp, sprintf, strrchr, strchr, malloc, strcpy, strcmp, memcmp, _mbslwr, _mbsstr, free, _ismbcspace, wcslen, __2@YAPAXI@Z, memcpy, _mbscmp, memmove, realloc, __CxxFrameHandler, wcscmp, __3@YAXPAX@Z, memset, strlen, _snprintf

( 8 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, NeedLoad, QueryInterface, Start, Stop
         

MSConfig.exe

Code: Alles auswählenAufklappen

ATTFilter

File size: 172544 bytes
MD5...: 07224089294758e956fa1dbcbf51b801
SHA1..: b45e64ae5b8baa4ba27dbb3c8ffe5fcbe1638c51
SHA256: 06e9d5acc6e5c5d05513fcb0e254aa65d87ff390178944c2a8f2b1ae6f55f644
SHA512: e2fb0c56f9683ac8d1cb66f03c1e08be3e7df20de84fb5462055311fe06b8e29
f8770051cd3a2d05fdc13a076383a3f022643f5a069b9ce0ee87828ea1ff60b7
ssdeep: 3072:6bS3hXbtR1nCi6dcApMFA0GZZzgkxUOadTB2jgxkrIYhMhTBZYjX7hSsb5M
zpa2I:6bSVtRNOcamDGT8eWFugxyhMA
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c7df
timedatestamp.....: 0x480252bb (Sun Apr 13 18:36:43 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x214ca 0x21600 6.09 ee36b579590d70281ba1a400cda0eff9
.data 0x23000 0x11f4 0x1000 4.90 afb6f79d7f2d289adb9be6b776ee738d
.rsrc 0x25000 0x76e0 0x7800 3.99 6bb0fca23060a3b5d49c844fdb68303d

( 10 imports )
> MFC42u.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcrt.dll: _CxxThrowException, wcscmp, _wcsicmp, wcscpy, _wmakepath, wcsncmp, wcslen, wcsncpy, _wtoi, _wtol, ceil, _ftol, malloc, free, realloc, iswdigit, _c_exit, wcscoll, _XcptFilter, _cexit, exit, _wcmdln, __wgetmainargs, _initterm, __setusermatherr, __p__commode, __p__fmode, __set_app_type, __CxxFrameHandler, _itow, _except_handler3, _terminate@@YAXXZ, __1type_info@@UAE@XZ, __dllonexit, _onexit, _controlfp, _purecall, wcscat, _exit, _adjust_fdiv
> ADVAPI32.dll: RegOpenKeyExA, RegCloseKey, RegQueryValueExW, RegSetValueExW, RegOpenKeyExW, QueryServiceConfigW, RegDeleteValueW, CloseServiceHandle, ChangeServiceConfigW, OpenServiceW, OpenSCManagerW, EnumServicesStatusW, RegDeleteKeyW, RegCreateKeyExW, RegEnumKeyExW, RegEnumValueW, RegQueryInfoKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegQueryValueExA
> KERNEL32.dll: GetCurrentProcess, FlushInstructionCache, WideCharToMultiByte, MultiByteToWideChar, GetEnvironmentVariableW, FormatMessageW, LocalFree, LoadLibraryW, ExpandEnvironmentStringsW, CopyFileW, DeleteFileW, FindFirstFileW, FindNextFileW, FindClose, CreateThread, WaitForSingleObject, MoveFileExW, GetLastError, GetDriveTypeW, GetSystemDirectoryW, lstrlenW, lstrcmpW, GlobalMemoryStatus, GetSystemInfo, SetLastError, GlobalUnlock, GlobalLock, FreeResource, GlobalFree, GlobalHandle, LockResource, LoadResource, LeaveCriticalSection, CreateSemaphoreW, CreateDirectoryW, lstrcpyW, lstrcmpiW, lstrcpynW, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, GetModuleFileNameW, FreeLibrary, GetProcAddress, GetModuleHandleW, SizeofResource, LoadLibraryExW, GetShortPathNameW, GetCommandLineW, OpenProcess, GetCurrentProcessId, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoW, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, VirtualFree, VirtualAlloc, EnterCriticalSection, GetCurrentThreadId, GlobalAlloc, lstrlenA, CloseHandle, ReadFile, GetFileSize, CreateFileW, SetEndOfFile, WriteFile, SetFilePointer, SetFileAttributesW, FindResourceW, GetFileAttributesW, lstrcatW
> GDI32.dll: CreateSolidBrush, DeleteObject, CreateCompatibleBitmap, CreateCompatibleDC, BitBlt, DeleteDC, GetStockObject, GetObjectW, GetDeviceCaps, SelectObject, GetTextMetricsW, GetTextExtentPoint32W
> USER32.dll: GetDlgItem, ExitWindowsEx, CharNextW, SetForegroundWindow, GetLastActivePopup, FindWindowW, IsIconic, LoadIconW, GetActiveWindow, DialogBoxIndirectParamW, RegisterWindowMessageW, GetWindowTextLengthW, GetWindowTextW, CreateWindowExW, GetClassInfoExW, LoadCursorW, RegisterClassExW, CreateAcceleratorTableW, CheckDlgButton, wsprintfW, EnableWindow, SendMessageW, GetClientRect, GetFocus, MessageBoxW, IsWindowEnabled, ShowWindow, PostMessageW, SetWindowTextW, LoadStringW, SetFocus, GetParent, CallWindowProcW, SetWindowLongW, GetWindowLongW, ScreenToClient, GetMessagePos, GetProcessDefaultLayout, ReleaseDC, GetDC, GetAsyncKeyState, DefWindowProcW, GetSysColor, GetDesktopWindow, ReleaseCapture, SetCapture, InvalidateRect, InvalidateRgn, GetWindow, IsChild, EndPaint, FillRect, BeginPaint, SetDlgItemTextW, SetWindowPos, IsWindow, RedrawWindow, GetClassNameW, DestroyWindow, EndDialog, GetDlgItemTextW, IsDlgButtonChecked
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -
> ole32.dll: CoRegisterClassObject, CoTaskMemRealloc, CoInitializeEx, OleUninitialize, OleInitialize, CreateStreamOnHGlobal, CLSIDFromString, CLSIDFromProgID, OleLockRunning, CoTaskMemAlloc, StringFromCLSID, CoTaskMemFree, CoInitialize, CoCreateInstance, CoUninitialize, CoRevokeClassObject
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHELL32.dll: SHGetSpecialFolderPathW, ShellExecuteW, SHGetMalloc, SHBrowseForFolderW, SHGetPathFromIDListW

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=07224089294758e956fa1dbcbf51b801' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=07224089294758e956fa1dbcbf51b801</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=07224089294758e956fa1dbcbf51b801' target='_blank'>http://www.threatexpert.com/report.aspx?md5=07224089294758e956fa1dbcbf51b801</a>
         

Ati2evxx.exe

Code: Alles auswählenAufklappen

ATTFilter

File size: 598016 bytes
MD5...: b8dbf155eae86b1468feea472e94aefb
SHA1..: 9f4aa39168d1162038ce6927c2699ddb19615242
SHA256: 0353b8e7261634d49cbe54956094b80f5a843fdd0d1ff12032b95e428b143891
SHA512: a1a5b51e6afd1b136e2a45b56131fa617c0a57db7ac27186569ae2b19242abce
15ac50349deccd651f63ed645d5642491820f00d3fdcc55e68e2dc28ea155c24
ssdeep: 12288:tNT3vHyR5+bODDVt5YQN/nwpkO5K/4bRlzQBwBuFyQbA:/jvHnbMDVcQN8
HRlqwBuFDA
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5f78e
timedatestamp.....: 0x496d6b35 (Wed Jan 14 04:33:57 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x67bea 0x68000 6.42 ac303e7c5cffa39f29442af9efb80568
.rdata 0x69000 0x25b8e 0x26000 5.47 3b27fda6cae464fbd757020fb0ab9853
.data 0x8f000 0x7fa0 0x2000 2.35 e8521e7df147f5806642a431036b1db4
.rsrc 0x97000 0x888 0x1000 4.64 33bed4fdca1303583073761ab99cea0f

( 9 imports )
> KERNEL32.dll: FlushFileBuffers, ConnectNamedPipe, CreateNamedPipeA, GetTickCount, LocalFree, LocalAlloc, OpenFile, GetLocalTime, Beep, GetPrivateProfileStringA, UnmapViewOfFile, OpenFileMappingA, MapViewOfFile, CreateFileMappingA, GetExitCodeThread, QueryPerformanceCounter, DisconnectNamedPipe, SetStdHandle, SetConsoleCtrlHandler, GetSystemInfo, VirtualProtect, GetLocaleInfoA, GetCPInfo, GetOEMCP, GetACP, GetStringTypeW, GetStringTypeA, CreateProcessA, ReadFile, LCMapStringW, MultiByteToWideChar, LCMapStringA, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetStdHandle, RaiseException, IsBadWritePtr, HeapReAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, VirtualQuery, InterlockedExchange, HeapSize, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, IsBadReadPtr, RtlUnwind, GetCurrentThread, SetThreadPriority, ExitThread, TerminateThread, GetCurrentProcess, GetSystemDirectoryA, SetUnhandledExceptionFilter, OpenProcess, WideCharToMultiByte, DeleteFileA, GetProcessHeap, HeapAlloc, GetSystemTimeAsFileTime, HeapFree, GetCurrentProcessId, CreateSemaphoreA, InterlockedDecrement, InterlockedIncrement, PulseEvent, CreateMutexA, ReleaseSemaphore, DeviceIoControl, GetVersionExA, GetSystemPowerStatus, CreateThread, GetModuleFileNameA, GetExitCodeProcess, TerminateProcess, GetSystemTime, CreateFileA, SetFilePointer, WriteFile, ExitProcess, OpenMutexA, ReleaseMutex, OutputDebugStringA, CallNamedPipeA, GetProcAddress, FreeLibrary, LoadLibraryA, OpenEventA, SetEvent, WaitForSingleObject, WaitForMultipleObjects, CreateEventA, ResetEvent, Sleep, GetCurrentThreadId, GetLastError, IsBadCodePtr, CloseHandle
> USER32.dll: EnumDisplaySettingsA, KillTimer, UnregisterDeviceNotification, RegisterDeviceNotificationA, SetTimer, SetCursor, SendInput, EnumWindows, SendMessageA, GetPropA, RegisterWindowMessageA, RegisterHotKey, UnregisterHotKey, GetForegroundWindow, GetDesktopWindow, GetWindowThreadProcessId, BroadcastSystemMessageA, ExitWindowsEx, SystemParametersInfoA, OpenDesktopA, CloseDesktop, SendNotifyMessageA, MsgWaitForMultipleObjects, GetCursorPos, MonitorFromPoint, GetMonitorInfoA, GetMessageA, DispatchMessageA, TranslateMessage, IsWindow, DestroyWindow, DefWindowProcA, PostMessageA, FindWindowA, RegisterClassA, CreateWindowExA, ShowWindow, MessageBoxA, EnumDisplayDevicesA, ChangeDisplaySettingsExA, ChangeDisplaySettingsA, EnumDisplaySettingsExA, GetSystemMetrics, SetWindowPos, GetCursor, LoadCursorA
> GDI32.dll: DeleteDC, CreateDCA, ExtEscape
> ole32.dll: CoUninitialize, CoCreateInstance, CoInitializeEx, CoInitializeSecurity
> OLEAUT32.dll: -, -, -, -
> USERENV.dll: LoadUserProfileA, UnloadUserProfile, GetUserProfileDirectoryW
> PSAPI.DLL: GetModuleBaseNameA, EnumProcessModules, EnumProcesses
> SETUPAPI.dll: SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyA, SetupDiSetClassInstallParamsA, SetupDiCallClassInstaller, SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInfoListDetailA, SetupDiGetClassDevsA, SetupDiOpenDevRegKey, SetupDiGetDeviceInstanceIdA, CM_Reenumerate_DevNode, SetupDiGetHwProfileList, CM_Get_DevNode_Registry_PropertyA, CM_Get_Device_ID_ExA, CM_Get_Parent
> ADVAPI32.dll: ImpersonateLoggedOnUser, OpenSCManagerA, OpenServiceA, CloseServiceHandle, ControlService, RegDeleteValueA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, QueryServiceStatus, RegSetValueExA, StartServiceA, DeregisterEventSource, ReportEventA, RegisterEventSourceA, SetServiceStatus, CreateProcessAsUserA, RegCreateKeyA, CreateServiceA, DeleteService, RegisterServiceCtrlHandlerExA, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, RegOpenCurrentUser, FreeSid, RegCreateKeyExA, AddAccessAllowedAce, InitializeAcl, SetSecurityDescriptorOwner, AllocateAndInitializeSid, RegEnumValueA, RegEnumKeyExA, RegQueryInfoKeyA, RegDeleteKeyA, GetLengthSid, OpenProcessToken, CheckTokenMembership, AdjustTokenPrivileges, LookupPrivilegeValueA, GetUserNameA, SetThreadToken, OpenThreadToken, RevertToSelf

( 0 exports )
         

ati2sgag.exe

Code: Alles auswählenAufklappen

ATTFilter

File size: 593920 bytes
MD5...: ad1865c5e1842c8ba06be3b1799315aa
SHA1..: e3458ecf5a2ef91ac937506fdbdc251520cdd0d0
SHA256: ab81ecb1f6fa6c719bd15cca60e1b593d4a32387c7009d2b2a8db2c69827efce
SHA512: 6e699898bb94e5fa5e4f505de4de564213f281d902887833f8bb50c3eb656405
9ed7fa9c45a91358c237b05b8563120e1c128d4d82681881cdc55655b64eb79a
ssdeep: 12288:K6bL3d8cIZtcnltcnltcnltcnltcnltcnltcn:rijtcnltcnltcnltcnlt
cnltcnltcn
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc004
timedatestamp.....: 0x496d6acb (Wed Jan 14 04:32:11 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1793c 0x18000 6.52 babc07ec8b93cad167846e8204e546e7
.rdata 0x19000 0x3fee 0x4000 5.33 a39ad4935adaa7dcc880c571dd2ccf5f
.data 0x1d000 0x743f0 0x73000 5.78 9f99eac2052691c35dffb95f31c25c87
.rsrc 0x92000 0xe48 0x1000 3.47 b1ab1d4390877b2903b8fbc80873206b

( 4 imports )
> KERNEL32.dll: GetCurrentProcess, TerminateProcess, SetEnvironmentVariableA, CompareStringW, CompareStringA, QueryPerformanceCounter, FlushFileBuffers, GetTimeZoneInformation, GetSystemInfo, VirtualProtect, SetConsoleCtrlHandler, GetCurrentProcessId, GetLastError, GetVersionExA, GetModuleFileNameA, GetCurrentThreadId, GetPrivateProfileIntA, GetCommandLineA, OutputDebugStringA, CreateFileA, SetFilePointer, GetLocalTime, WriteFile, CloseHandle, GetSystemDirectoryA, CreateProcessA, GetTickCount, lstrcpyA, GetModuleHandleA, GetProcAddress, GetLocaleInfoW, Sleep, VirtualAlloc, VirtualFree, RtlUnwind, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, TlsAlloc, SetLastError, GetCurrentThread, TlsFree, TlsSetValue, TlsGetValue, EnterCriticalSection, LeaveCriticalSection, ExitProcess, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, DeleteCriticalSection, HeapDestroy, HeapCreate, FatalAppExitA, HeapReAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, RaiseException, IsBadReadPtr, IsBadCodePtr, GetACP, GetOEMCP, GetCPInfo, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetStringTypeA, GetStringTypeW, InterlockedExchange, VirtualQuery, LoadLibraryA, InitializeCriticalSection, SetStdHandle, GetSystemTimeAsFileTime
> USER32.dll: PeekMessageA, PostMessageA, GetActiveWindow, EnumDisplaySettingsA, ChangeDisplaySettingsExA, wsprintfA, IntersectRect, WindowFromDC, MapWindowPoints, SystemParametersInfoA, GetWindowRect, GetSystemMetrics
> GDI32.dll: ExtEscape, CreateDCA, DeleteDC, GetClipBox
> ADVAPI32.dll: RegisterServiceCtrlHandlerA, SetServiceStatus, DeleteService, CreateServiceA, RegCreateKeyA, RegSetValueExA, DeregisterEventSource, RegisterEventSourceA, ReportEventA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, RegOpenKeyA, RegFlushKey, RegCloseKey, StartServiceCtrlDispatcherA

( 0 exports )
         

das fixen der 2 einträge mit hijack this geht nicht,bleiben trotzdem drin.werd das mal im abgesicherten modus probieren.

der ie7 macht jetz keine zicken mehr,taucht auch nicht mehr im taskmanager auf.

die beiden einträge mit 2d stromsparmodus sind profile für das Catalyst Control Center die ich wegen meiner graka angelegt habe.

Ok, du hast mir die letzten Einträge gezeigt, aber wie waren denn die Ergebnisse der Virenscanner. Alle negativ?

Entschuldige meine nachfrage aber hast du im Hijack die beiden files angehackt UND auf fix this gedrückt?

ergebnisse waren alle negativ und ja ich habe die haken gemacht und dann gefixt aber bei jedem erneuten scan sind die beiden einträge wieder da

Hast du die Wiederherstellungskonsole deaktiviert gelassen?
Falls nicht, deaktiviere sie und versuche erneut zu fixen...

Andere Frage, kann es sein das du Malwarebytes hast vorher mal laufen lassen ohne das es geupdated war? Hat dann Malwarebytes dir das oder so ähnlich angezeigt?
Infizierte Dateien:
C:\Windows\system32\wextract.exe (Trojan.Vundo)
wohlmöglich noch an anderen Orten?

Falls ja, dann schau in die Quarantäne zu Malwarebytes und stelle das file wieder her. Das ist nämlich ein Fehlalarm auf den ich auch reingefallen bin. Ich habe hiernach die gleichen Fehlermeldungen erhalten....

hab die wiederherstellung schon deaktiviert,so wie es in der anleitung stand.

mwb hab ich gleich nach dem ersten start aktualisiert,hab auch nicht solch eine meldung wie du sie beschrieben hast bekommen

Alles klar,

Hast du in deinem Explorer Fall auch diese Meldung erhalten?

Code: Alles auswählenAufklappen

ATTFilter

Ein Anwendungsfehler ist aufgetreten und ein Post-Mortem-Abbild wird erstellt EXPLORER.EXE
         

Bitte schick mir nachdem du CCleaner hast laufen lassen nochmals ein frisches Hijack this..
es wird kompliziert

mhh also mir is nich so als ob ich solch eine meldung bekommen habe

hier das aktuelle hijack this:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:27, on 12.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\RocketDock\RocketDock.exe
D:\DAEMON Tools Lite\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\oodag.exe
D:\OO CleverCache\ooccag.exe
D:\Sunbelt Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
D:\Sunbelt Personal Firewall\SbPFCl.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - D:\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [GMX SMS-Manager] D:\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - S-1-5-18 Startup: 2D Stromsparmodus.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: 2D Stromsparmodus.lnk = ? (User 'Default user')
O4 - Startup: 2D Stromsparmodus.lnk = ?
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll
O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - D:\VideoGet\Plugins\VideoGet_IE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - D:\OO CleverCache\ooccag.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - D:\Sunbelt Personal Firewall\SbPFSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 6051 bytes
         

die letzten beiden bekomm ich nich weg,weder im normalen windows modus - noch im abgesicherten

Lad dir bitte mal Loop S&D runter und lass das Programm laufen

Wahle als Sprache Deutsch und als nachfolgende Option 1

Lehn dich zurück und geniesse das Farbenspiel

Keine Angst wenn dein Destop verschwindet, ruf dann einfach den Taskmanager auf.

das Log file wird unter C:\ LopR.txt gespeichert. Poste das dann bitte hier

Hat dein System immer noch die erheblichen Auffälligkeiten?