Hallo,

bin neu hier und direkt mit einem Problem
Ich habe alle Schritte zum hijackthis, die hier im Forum standen, und bin jetzt an dem Punkt angelangt, wo es um Auswerten geht! Damit hab ich sehr große Probleme! Kann mir einer helfen was ich "fixen" soll und was nicht?

Über anderweitige Lösungen wäre ich auch sehr erfreut!

Das ist das was beim scanen rauskam:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:48, on 24.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia\Common\675ba08c1.dll""
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'Default user')
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Silvercrest OM1007 driver\KMWDSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - c:\PROGRA~1\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - c:\PROGRA~1\vbroker\bin\osagent.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 3423 bytes

vielen dank schon mal

Zitat:

O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - c:\PROGRA~1\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - c:\PROGRA~1\vbroker\bin\osagent.exe

Lade die beiden Dinger mal bei Virustotal.com hoch, bitte noch Malwarebytes drüberlaufen lassen und eine Uninstall List heir rein. So kann man dir besser und gezielter helfen.

Was ist denn der grund für deine Hilfebenötigung? den bräuchten wir um Näheres zu wissen

Stimmt der Grund wär auch nicht schlecht wa?! hehe..

Also wenn ich den PC (XP pro sp2) hochfahren will, dann kommt bei dem Benutzerkontenauswahl eine Fehlermeldung, es öffnet sich nämlich ein Kästchen in dem steht, das das Herrunterfahren mit NT-Autorität\System ausgelöst wird und System herruntergefahren wird: C:\Windows\System32\lsass.exe; Statuscode 1073741819
Innerhalb von 60 sec fährt der PC dann herrunter.

Und hier ist das Ergebnis aus dem Malwarebytes (sorry dass es so lange gedauert hat, das scanen hat aber so viel Zeit in anspruch genommen ):

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1892
Windows 5.1.2600 Service Pack 2

24.03.2009 21:56:54
mbam-log-2009-03-24 (21-56-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 475335
Laufzeit: 2 hour(s), 3 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Damian Machon\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\M. Machon\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Machon\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

Stimmt der Grund wär auch nicht schlecht wa?! hehe..

Also wenn ich den PC (XP pro sp2) hochfahren will, dann kommt bei dem Benutzerkontenauswahl eine Fehlermeldung, es öffnet sich nämlich ein Kästchen in dem steht, das das Herrunterfahren mit NT-Autorität\System ausgelöst wird und System herruntergefahren wird: C:\Windows\System32\lsass.exe; Statuscode 1073741819
Innerhalb von 60 sec fährt der PC dann herrunter.

Und hier ist das Ergebnis aus dem Malwarebytes (sorry dass es so lange gedauert hat, das scanen hat aber so viel Zeit in anspruch genommen ):

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1892
Windows 5.1.2600 Service Pack 2

24.03.2009 21:56:54
mbam-log-2009-03-24 (21-56-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 475335
Laufzeit: 2 hour(s), 3 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macrom edia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Damian Machon\Anwendungsdaten\Macromedia\Common\675ba08c1 .dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macrome dia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\M. Machon\Anwendungsdaten\Macromedia\Common\675ba08c1 .dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Machon\Anwendungsdaten\Macromedia\Co mmon\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macro media\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

Was sagt Virustotal zu den Dateien? bitte Posten

EDIT:

Zitat:

O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macrom edia\Common\675ba08c1.dll""

Bitte fixen und reboot machen danach, aber erst die zwei Datein bei Virustotal auswerten lassen.

Soll ich ganz einfach den Namen in das leere Feld bei virustotal einfügen und abschicken oder das komplette hijackthis-auswerung da reinsetzten? Und was meinst du mit reboot?

Nur den einen Auszug da bitte bei Virustotal von deinen Datein aus hochladen.

Reboot = Neustart des Pcs

neu starten im abgesichertem modus oder normal versuchen?

normaler reboot, das reicht aus ^^

Der hat jetzt den ganzen report überprüft:

Datei hijackthis.log empfangen 2009.03.24 22:42:52 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit ist zwischen 63 und 90 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.24 -
AhnLab-V3 5.0.0.2 2009.03.24 -
AntiVir 7.9.0.120 2009.03.24 -
Antiy-AVL 2.0.3.1 2009.03.24 -
Authentium 5.1.2.4 2009.03.24 -
Avast 4.8.1335.0 2009.03.24 -
AVG 8.5.0.283 2009.03.24 -
BitDefender 7.2 2009.03.24 -
CAT-QuickHeal 10.00 2009.03.24 -
ClamAV 0.94.1 2009.03.24 -
Comodo 1083 2009.03.24 -
DrWeb 4.44.0.09170 2009.03.24 -
eSafe 7.0.17.0 2009.03.24 -
eTrust-Vet 31.6.6414 2009.03.24 -
F-Prot 4.4.4.56 2009.03.24 -
F-Secure 8.0.14470.0 2009.03.24 -
Fortinet 3.117.0.0 2009.03.24 -
GData 19 2009.03.24 -
Ikarus T3.1.1.48.0 2009.03.24 -
K7AntiVirus 7.10.680 2009.03.24 -
Kaspersky 7.0.0.125 2009.03.24 -
McAfee 5563 2009.03.24 -
McAfee+Artemis 5563 2009.03.24 -
McAfee-GW-Edition 6.7.6 2009.03.24 -
Microsoft 1.4502 2009.03.24 -
NOD32 3957 2009.03.24 -
Norman 6.00.06 2009.03.24 -
nProtect 2009.1.8.0 2009.03.24 -
Panda 10.0.0.10 2009.03.24 -
PCTools 4.4.2.0 2009.03.24 -
Prevx1 V2 2009.03.24 -
Rising 21.22.12.00 2009.03.24 -
Sophos 4.39.0 2009.03.24 -
Sunbelt 3.2.1858.2 2009.03.24 -
Symantec 1.4.4.12 2009.03.24 -
TheHacker 6.3.3.4.289 2009.03.24 -
TrendMicro 8.700.0.1004 2009.03.24 -
VBA32 3.12.10.1 2009.03.23 -
ViRobot 2009.3.24.1661 2009.03.24 -
VirusBuster 4.6.5.0 2009.03.24 -
weitere Informationen
File size: 2985 bytes
MD5...: b941bdae28cc969a4782caf0bd48f999
SHA1..: a8cf3c5c1a9a23f84223005902040a7f79673e0e
SHA256: 38a0c5576f0fe5c51ff118f61a8d297fc34296b07caf670a492687a23f6a6dd6
SHA512: 1736cf834891ee1038a323bd3b9d6e4fedf189c4d18bbc28cc95814e3eca4b42
47a1f14539adc1fa8b7beddccb5b9ed040342e050a7094f40341b3ad5ce29619
ssdeep: 48:JYwHl6+Y2pYUcPegMKbwzwKLgAsbwzwKLCIzbwzwKLCIDHbwzwKLCIJ/NngAX
098:5Hlf/vj+mHLgA8mHLCQmHLCe7mHLC0nt

PEiD..: -
TrID..: File type identification
HijackThis logfile (100.0%)
PEInfo: -

oke.. ^^ und was sagst du dazu?

Ich habe mal jemand Nettes angeschrieben, diese Person wird sicherlich mal drüberschauen

cooooool, danke Dir ist die Person denn jetzt on-line oder muss ich mich da bißchen gedulden und bis morgen oder so warten?

Abwarten und Tee trinken

Man muss sich doch erst alles hier durchlesen bevor man eine Antwort geben kann

alles klar ^^ hoffe, dass es auch klappt hmm...