Normale Hilfe funktioniert nicht
 

Logfile of HijackThis v1.99.1
Scan saved at 23:12:35, on 02.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
D:\Programme\QIP\qip.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp2269.tmp
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2005\LeechGet.exe" -intray
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6CCD3479-D0A0-4C5B-A275-559ECDE2FF3E} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6CCD3479-D0A0-4C5B-A275-559ECDE2FF3E} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe


Der normale Löschweg funktioniert bei mir irgendwie nicht..
Kann mir einer helfen, oder mal meinen pc über VNC Server anshaun?

Servus!
Arbeite mal diese Anleitung durch und poste anschließend alle logfiles (escan, neues HJT-log, 'C:\smitfiles.txt')
stupormundi

@Nodishi

....was versuchtest du zu löschen ??

Du hast dir einen Download :teufel3: Trojaner eingefangen. Er tritt unter mehreren Namen in Erscheinung (Info1,Info2) und ist unter anderem für das Vorhandensein dieser beiden Einträge in deinem logfile verantwortlich
Scheinbar besitzt er keine wirkliche Backdoor-Komponente, mit der er vermutlich schon längst sämtliche sensiblen Daten an Dritte übermittelt hätte.
Wohl aber die Fähigkeit sich zu tarnen und dem User allerhand vorzugaukeln, um eine Verbindung zu vordefinierten Internetseiten herstellen zu können, weiteren code herunterzuladen und auszuführen.

Einmal installiert, trifft er die nötigen Vorkehrungen, zukünftig bei jeder neuen Benutzeranmeldung von neuem ausgeführt zu werden, fleißig Daten nachzuladen und das kompromittierte System mehr und mehr zu manipulieren.

Er gibt Fake-Meldungen aus und versucht den Internet Explorer für seine Zwecke zu mißbrauchen, indem er dessen Suchseinstellungen über die Registrierung verändert.


Es finden sich dennoch zwei Dateien auf deinem System, über welche es bisher nur sehr wenig Auskunft gibt...

Teil 1) Dateiüberprüfung:

Kontrolliere bitte deine Einstellungen im Windows Explorer unter:

1.Extras\Ordneroptionen\Ansicht\"Geschütze Systemdateien ausblenden (empfohlen)" = deaktivieren.
2.Extras\Ordneroptionen\Ansicht\"Versteckte Dateien und Ordner anzeigen" = aktivieren.

Scanne die unten aufgeführten Dateien mit Jotti und Virustotal

C:\WINDOWS\system32\VirtualExpander\VirtualExpande r.exe
D:\Programme\QIP\qip.exe

Speichere bitte die vollständigen Ergebnisse der Scans und poste sie in einen neuen Beitrag damit wir sie auswerten.

Im Anschluss erhältst du weitere Reinigungsanweisungen :daumenhoc

MFG,

PCNerD

Servus pcnerd!
Ich freue mich über Deine Beteiligung aber ich würde mich freuen, wenn Du nicht einfach so in diesem thread zum querposten anfängst (siehe NUB's).
Nodishi hat bereits fürs erste ausreichend "Anweisungen" erhalten.
stupormundi

@stupormundi

Seufz...ich hatte schon solch eine dumpfe Befürchtung, der Widerstand würde nicht lang auf sich warten lassen...

Wer postet hier quer ?

Sieh bitte welch kurze Zeit (ca.6Min) unsere Beiträge auseinander liegen und rechne dir aus, wie lange eine solche erste Auswertung meines Ausmaßes ohne Textbausteine und links zu vollständig verfassten Anleitungen braucht. Unsere posts haben sich schlicht überschnitten.
Sorry, wenn ich dir damit auf die Füße trat :o

Kommt es jedoch nicht vielmehr darauf an, in welchem engeren Zusammenhang die jeweiligen "Reinigungsanweisungen" zur vorliegenden Problemstellung stehen..?

Eine Vorgehensweise, so wie du sie hier produktiv vorschlägst (resp. verlinkst), kann ich nicht wirklich nachvollziehen,
doch du wirst das schon machen

I´m out ...:huepp:

PCNerD


Postskriptum: Danke für die warme Begrüßung...

Gut!
Das kannst Du dir sparen - wenn Du gleich beim ersten Posting die hier üblichen Spielregeln nicht beachtest, brauchst Du dich nicht zu wundern!
Dazu gibt es von den Mods standardisierte Verfahrensabläufe um
1 den Regulars die Tipperei zu ersparen (!)
2 gleiche Verfahrensanweisungen bei gleichen/gleichartigen Problemen zu gewährleisten
EOD
stupormundi

Ich hab versucht den normalen löschweg für den trojaner Smitfraud.c aka Troj/FakeAle-c durchzuführen, und hab auch dies getan, denoch bleibt der gleiche log, und die Meldung "Your system is infected" Taucht noch immer auf.

QIP: QIP ist ein chatprogramm, ist völlig harmlos (Auch auf beiden websiten)
VirtualExpande: Wird benutzt um Dateien, auf einem USB-Stick zu verkleinern (auch harmlos)

Servus nodishi!
Hast Du die Anleitung wie von mir gepostet schon durchgearbeitet?
stupormundi

Ja habe ich..
und bis jetzt ist noch nichts auffälliges gewesen.

Logfile of HijackThis v1.99.1
Scan saved at 12:39:56, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp32EF.tmp (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2005\LeechGet.exe" -intray
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Servus!
Das fällt mir schwer zu glauben!
Was ist mit dem Rest?
stupormundi

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp
logfiles


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2104 'explorer.exe'
Killing PID 2104 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)



Und Escan hatte ich gestern schon, und hat nichts gefunden

Naja, smitrem hat ja schon ganze Arbeit geleistet!
Einen aktuellen escan nach update hättest Du danach aber trotzdem macjen können und das genaue Ergebnis hier posten können!
Diese Einträge mit HJT noch fixen (siehe Anleitung 'fix checked' anhaken)
Wegen des VNC Clients - wer macht bei Dir Fernwartung - gewollt installiert oder gar Firmenrechner?
stupormundi

Habe ich bereits gesehen und darauf geantwortet!
Im übrigen - um auch meinen Standpunkt hier öffentlich darzustellen:
Ich freue mich immer, wenn zusätzliche Tipps eingebracht werden oder Hinweise auf Einträge, die ich übersehen habe, gegeben werden.
Aber ich habe kein Verständnis, dass in der letzten Zeit die Querposterei mit dem Ergebnis von Wettläufen um die "besseren" Tipps überhand nimmt!
...
[edit]
was per pn geschrieben wird sollte auch da bleiben!
desweiteren wurde ich hier falsch zitiert...

GUA
[/edit]

EOT for me
stupormundi

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:10:41, 03.01.2006
+ Report-Checksumme: A3B0A534

+ Scanergebnis:

[648] C:\WINDOWS\system32\ld3FE2.tmp -> Downloader.Zlob.dm : Fehler beim Säubern
C:\WINDOWS\system32\msvol.tlb -> Downloader.Zlob.dr : Gesäubert mit Backup
C:\WINDOWS\system32\__delete_on_reboot__ld3FE2.tmp -> Downloader.Zlob.dm : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Rene\Cookies\rene@adserver.71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Rene\Cookies\rene@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.27:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Bluestreak : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.247realmedia : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.247realmedia : Gesäubert mit Backup
:mozilla.33:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.57:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
:mozilla.72:C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Mozilla\Firefox\Profiles\jhdrfkgs.Standard-Benutzer\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Programme\RealVNC\VNC4\wm_hooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4 : Gesäubert mit Backup
C:\Recycled\Dc10.tmp -> Downloader.Zlob.dr : Gesäubert mit Backup


::Report Ende


VNC: Gewollt, für freunde =)

Also irgendwie versteh ich die Aufregung hier um den Beitrag von PCNerd nicht :confused:

@nodishi!
Jetzt habe ich wohl kurz den Faden verloren wegen all der Aufregung...
hach...
Besteht Dein Problem noch? - ewido findet ja nicht mehr viel!
Die Datei , wenn noch vorhanden im abgesicherten Modus löschen!
Wenn Du die zuletzt geposteten Einträge gefixt hast, finde ich in Deinem log sonst nichts mehr!
Und wegen dem VNC - ich hoffe Du hast nur gute Freunde ;)

stupormundi

Das Problem is derweil nicht mehr aufgetreten :daumenhoc

danke :party:

Gut - freut mich, alles Gute
stupormundi

Jetzt ist er wieder auf dem Comp..

Hallo,
ich hoffe das wird jetzt nicht als Crossposting angesehen, aber wenn du schon gerade online bist, ist es wohl der schnellste Weg. Mache mal bitte folgendes und poste die vier Logs (nur die Dateien der letzten drei Monate abkopieren!). Hast du Smitrem eigentlich im abgesicherten Modus(F8 beim booten) durchgeführt?


Grüße Wildone

Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

04.01.2006 00:49 5.096 ncompat.tlb
04.01.2006 00:06 10.020 hp36E2.tmp
04.01.2006 00:06 9.792 mssearchnet.exe
04.01.2006 00:06 15.728 nvctrl.exe
03.01.2006 12:00 692 eRLog.ini
03.01.2006 11:58 24.064 __delete_on_reboot__ld3fe2.tmp
03.01.2006 11:58 35.870 vsconfig.xml
29.12.2005 12:29 215.264 FNTCACHE.DAT
28.12.2005 15:33 4.212 zllictbl.dat
26.12.2005 23:36 14.616 mscornet.exe
24.12.2005 00:46 176.167 rmoc3260.dll
24.12.2005 00:46 6.656 pndx5016.dll
24.12.2005 00:46 5.632 pndx5032.dll
24.12.2005 00:46 278.528 pncrt.dll
20.12.2005 15:19 1.158 wpa.dbl
04.12.2005 02:03 372.736 wmpheadphones.dll
03.12.2005 23:17 23.392 nscompat.tlb
21.11.2005 21:09 1.024 NTICDMK7.dll
21.11.2005 20:10 1.024 NTIMPEG2.dll
21.11.2005 11:29 2.321.408 TUKernel.exe
17.11.2005 10:34 56 4FB3606F8C.sys
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll


Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\Rene\LOKALE~1\Temp

04.01.2006 00:50 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31641.html
04.01.2006 00:45 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}2027.html
04.01.2006 00:39 16.384 ~DF9B29.tmp
04.01.2006 00:39 512 ~DF9ACA.tmp
04.01.2006 00:39 16.384 ~DF9A41.tmp
04.01.2006 00:39 512 ~DF9A77.tmp
04.01.2006 00:39 16.384 ~DF9A85.tmp
04.01.2006 00:39 512 ~DF9B62.tmp
04.01.2006 00:39 16.384 ~DF9AD8.tmp
04.01.2006 00:39 512 ~DF9B1B.tmp
03.01.2006 17:39 16.384 ~DFED39.tmp
03.01.2006 17:39 16.384 ~DFDEC2.tmp
03.01.2006 17:39 512 ~DFDED1.tmp
03.01.2006 11:59 16.384 Perflib_Perfdata_fec.dat
14 Datei(en) 119.209 Bytes
0 Verzeichnis(se), 17.448.501.248 Bytes frei


Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS

04.01.2006 00:40 219.920 setupact.log
04.01.2006 00:28 3.120 MF_C421.lfa
04.01.2006 00:28 3.120 MF_C425.lfa
04.01.2006 00:28 3.120 MF_C420.lfa
04.01.2006 00:18 254 wiadebug.log
04.01.2006 00:15 54.156 QTFont.qfn
04.01.2006 00:15 1.409 QTFont.for
03.01.2006 16:05 1.771.230 WindowsUpdate.log
03.01.2006 11:58 97 ComponentList.xml
03.01.2006 11:58 1.167.645 setupapi.log
03.01.2006 11:58 4.148 ModemLog_SoftV90 Data Fax Modem with SmartCP.txt
03.01.2006 11:57 0 0.log
03.01.2006 11:57 2.048 bootstat.dat
03.01.2006 03:22 32.492 SchedLgU.Txt
03.01.2006 03:22 50 wiaservc.log
03.01.2006 01:49 2.359.350 Firefox Wallpaper.bmp
31.12.2005 18:13 15.818 cdPlayer.ini
28.12.2005 13:53 0 setuperr.log
28.12.2005 13:35 0 SPYXX.INI
26.12.2005 16:18 134.031 wmsetup.log
16.12.2005 21:58 30 Iedit.INI
03.12.2005 23:18 378 wmsetup10.log
03.12.2005 15:41 73.216 cadkasdeinst01.exe
30.11.2005 23:47 74.752 ST6UNST.EXE
30.11.2005 23:47 253.952 Setup1.exe
27.11.2005 10:06 94.208 DUMPb58a.tmp
21.11.2005 19:28 1.125 winamp.ini
21.11.2005 15:21 384 nsw.log
11.11.2005 14:58 316.640 WMSysPr9.prx


Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\

04.01.2006 00:53 0 sys.txt
04.01.2006 00:53 8.779 system.txt
04.01.2006 00:51 1.034 systemtemp.txt
04.01.2006 00:51 109.689 system32.txt
04.01.2006 00:40 1.534 smitfiles.txt
03.01.2006 11:57 1.071.878.144 hiberfil.sys
03.01.2006 11:57 1.610.612.736 pagefile.sys
21.11.2005 11:29 357 BOOT.INI




ja war im abgesicherten modus

Hallo,
besorge dir Killbox, und lösche folgende Dateien on reboot (den Neustart erst bei der letzten bejaen):

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\hp36E2.tmp
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\__delete_on_reboot__ld3fe2.tmp
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\SPYXX.INI

Daraufhin bitte nochmal Smitrem im abgesicherten modus durchführen und das Log posten.

Dann speicherst du die mcor.reg und die spyaxe.reg per Rechtsklick>>Ziel speichern unter auf dem Desktop, gehst in den abgesicherten modus und fügst sie per Doppelklick der Registry bei.

Daraufhin löschst du noch alle temp Dateien mit Cleanup!, und schaltest mal die Systemwiederherstellung aus, startest den Computer neu, und stellst sie wieder ein.

Dann machst du noch zur Kontrolle einen Onlinescan bei Panda und postest das Ergebnis.

Werde mir das Ergebnis erst morgen anschauen, weil ich jetzt dann doch schlafen gehe.


Grüße Wildone