Hallo,

bin neu hier und direkt mit einem Problem
Ich habe alle Schritte zum hijackthis, die hier im Forum standen, und bin jetzt an dem Punkt angelangt, wo es um Auswerten geht! Damit hab ich sehr große Probleme! Kann mir einer helfen was ich "fixen" soll und was nicht?

Über anderweitige Lösungen wäre ich auch sehr erfreut!

Das ist das was beim scanen rauskam:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:48, on 24.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia\Common\675ba08c1.dll""
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll"" (User 'Default user')
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Silvercrest OM1007 driver\KMWDSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - c:\PROGRA~1\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - c:\PROGRA~1\vbroker\bin\osagent.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 3423 bytes

vielen dank schon mal

Zitat:

O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - c:\PROGRA~1\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - c:\PROGRA~1\vbroker\bin\osagent.exe

Lade die beiden Dinger mal bei Virustotal.com hoch, bitte noch Malwarebytes drüberlaufen lassen und eine Uninstall List heir rein. So kann man dir besser und gezielter helfen.

Was ist denn der grund für deine Hilfebenötigung? den bräuchten wir um Näheres zu wissen

Stimmt der Grund wär auch nicht schlecht wa?! hehe..

Also wenn ich den PC (XP pro sp2) hochfahren will, dann kommt bei dem Benutzerkontenauswahl eine Fehlermeldung, es öffnet sich nämlich ein Kästchen in dem steht, das das Herrunterfahren mit NT-Autorität\System ausgelöst wird und System herruntergefahren wird: C:\Windows\System32\lsass.exe; Statuscode 1073741819
Innerhalb von 60 sec fährt der PC dann herrunter.

Und hier ist das Ergebnis aus dem Malwarebytes (sorry dass es so lange gedauert hat, das scanen hat aber so viel Zeit in anspruch genommen ):

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1892
Windows 5.1.2600 Service Pack 2

24.03.2009 21:56:54
mbam-log-2009-03-24 (21-56-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 475335
Laufzeit: 2 hour(s), 3 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Damian Machon\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\M. Machon\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Machon\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

Stimmt der Grund wär auch nicht schlecht wa?! hehe..

Also wenn ich den PC (XP pro sp2) hochfahren will, dann kommt bei dem Benutzerkontenauswahl eine Fehlermeldung, es öffnet sich nämlich ein Kästchen in dem steht, das das Herrunterfahren mit NT-Autorität\System ausgelöst wird und System herruntergefahren wird: C:\Windows\System32\lsass.exe; Statuscode 1073741819
Innerhalb von 60 sec fährt der PC dann herrunter.

Und hier ist das Ergebnis aus dem Malwarebytes (sorry dass es so lange gedauert hat, das scanen hat aber so viel Zeit in anspruch genommen ):

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1892
Windows 5.1.2600 Service Pack 2

24.03.2009 21:56:54
mbam-log-2009-03-24 (21-56-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 475335
Laufzeit: 2 hour(s), 3 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\rundll32.exe (Hijack.Sound) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\ADMINI~1\ANWEND~1\MACROM~1\Common\675 ba08c1.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macrom edia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Damian Machon\Anwendungsdaten\Macromedia\Common\675ba08c1 .dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macrome dia\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\M. Machon\Anwendungsdaten\Macromedia\Common\675ba08c1 .dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Machon\Anwendungsdaten\Macromedia\Co mmon\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macro media\Common\675ba08c1.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> Quarantined and deleted successfully.

Was sagt Virustotal zu den Dateien? bitte Posten

EDIT:

Zitat:

O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macrom edia\Common\675ba08c1.dll""

Bitte fixen und reboot machen danach, aber erst die zwei Datein bei Virustotal auswerten lassen.

Soll ich ganz einfach den Namen in das leere Feld bei virustotal einfügen und abschicken oder das komplette hijackthis-auswerung da reinsetzten? Und was meinst du mit reboot?

Nur den einen Auszug da bitte bei Virustotal von deinen Datein aus hochladen.

Reboot = Neustart des Pcs