Trojaner-Board - HiJackThis-Log eines Verzweifelten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJackThis-Log eines Verzweifelten (https://www.trojaner-board.de/27198-hijackthis-log-verzweifelten.html)

HiJackThis-Log eines Verzweifelten

Hallo,

ich habe schon seit Tagen leichte Probleme mit meinem Rechner gehabt, weil er ständig irgendwelche .zip-Dateien aus dem Internet geladen hat. Gestern habe ich dann mal versucht mit panda und hijackthis was daran zu machen, aber das hat eigentlich nichts gebracht, im Gegenteil, jetzt läuft mein Rechner so langsam, dass es mich etwa zwanzig Minuten gekostet hat, ihn hochzufahren und diese Seite aufzurufen.
Ich poste hier einfach mal meinen HiJackThis-Log und würde mich sehr darüber freuen, wenn mir jemand weiterhelfen könnte.

Danke im Voraus

Ulf

Logfile of HijackThis v1.98.2
Scan saved at 04:00:13, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Vba32\Vba32Ldr.exe
C:\Programme\Oleco\_Oleco.exe
C:\DOKUME~1\Ulf\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [] p2pnetworking.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

Poste bitte ein neues Logfile was mit der neuen Version von HJT erstellt wurde.

Servus@all:
Ergänzung zu JayP: Entpacke die aktuelle Version von HJT (1.99.1) in ein eigenes Verzeichnis, nicht - so wie bisher die alte - in den Temporärordner. Da funktioniert die mitunter wichtige Backup Funktion nicht!

stupormundi

Ja, pardon, hier ist die aktuelle Version:

Logfile of HijackThis v1.99.1
Scan saved at 15:24:20, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Apoint2K\Apntex.exe
C:\DOKUME~1\Ulf\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [] p2pnetworking.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [] p2pnetworking.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Vba32ECM - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe
O23 - Service: Vba32ifs - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe
O23 - Service: Vba32 Loader Service (Vba32Ldr) - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32Ldr.exe
O23 - Service: Vba32PP3 - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe

milanrichcrow

Maxifiles(Information)
http://virus-protect.org/artikel/spyware/maxifiles.html

1.)
Einzelne Dateien scannen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten--> poste den Text
http://www.virustotal.com/flash/index_en.html

c:\windows\system32\dllhook.dll

---------------------------------------------------------------------
2.)
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [] p2pnetworking.exe
O4 - HKLM\..\RunServices: [] p2pnetworking.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe

PC neustarten

3.)
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat:

cd\
cd c:\programme\gemein~1\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt

4.)
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.)
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

So, hier kommt das Ergebnis von virus-protect, allerdings gibt´s bei mir den Ordner windows/system32 nicht, ich hab deswegen die Datei c:/programme/vba32/dllhook.dll genommen, ich hoffe mal, das ist kein Problem. Die anderen Schritte führe ich gleich durch, mein Rechner ist halt grad saulangsam. Also:

This is a report processed by VirusTotal on 02/28/2006 at 17:04:44 (CET) after scanning the file "dllhook.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.28.2006 no virus found
Avast 4.6.695.0 02.27.2006 no virus found
AVG 718 02.28.2006 no virus found
Avira 6.33.1.50 02.28.2006 no virus found
BitDefender 7.2 02.28.2006 no virus found
CAT-QuickHeal 8.00 02.27.2006 no virus found
ClamAV devel-20060126 02.28.2006 no virus found
DrWeb 4.33 02.28.2006 no virus found
eTrust-InoculateIT 23.71.89 02.27.2006 no virus found
eTrust-Vet 12.4.2098 02.28.2006 no virus found
Ewido 3.5 02.28.2006 no virus found
Fortinet 2.71.0.0 02.28.2006 no virus found
F-Prot 3.16c 02.27.2006 no virus found
Ikarus 0.2.59.0 02.28.2006 no virus found
Kaspersky 4.0.2.24 02.28.2006 no virus found
McAfee 4706 02.27.2006 no virus found
NOD32v2 1.1420 02.27.2006 no virus found
Norman 5.70.10 02.28.2006 no virus found
Panda 9.0.0.4 02.28.2006 Suspicious file
Sophos 4.03.0 02.28.2006 no virus found
Symantec 8.0 02.28.2006 no virus found
TheHacker 5.9.4.103 02.28.2006 no virus found
UNA 1.83 02.27.2006 no virus found
VBA32 3.10.5 02.28.2006 no virus found

So, ich hab jetzt versucht all das zu machen, was mir aufgetragen wurde, ich hoffe mal, es hat geklappt.
Ich poste jetzt mal die letzten drei Monate aus der datfindbat-Geschichte:

28.02.2006 17:30 10 M02
27.02.2006 17:50 0 asfiles.txt
27.02.2006 17:45 2.550 Uninstall.ico
27.02.2006 17:45 1.406 Help.ico
27.02.2006 17:45 30.590 pavas.ico
25.02.2006 00:18 1.158 wpa.dbl
08.02.2006 06:23 4.513.120 MRT.exe
07.02.2006 12:41 3.120 HSeNJ.ocx
04.02.2006 16:25 190.592 FNTCACHE.DAT
03.02.2006 13:29 62.464 bszip.dll
03.02.2006 13:28 2 regedit.com
03.02.2006 13:28 2 tasklist.com
03.02.2006 13:28 2 netstat.com
03.02.2006 13:28 2 cmd.com
03.02.2006 13:28 2 ping.com
03.02.2006 13:28 2 taskkill.com
03.02.2006 13:28 2 tracert.com
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll

Ich warte dann mal auf weitere Anweisungen...

milanrichcrow

*du hast die Haelfte, um die ich gebeten hatte, nicht gepostet...die 4 Logs nicht (sondern nur eins davon...) und nicht die list.bat ...also muss ich meine Glaskugel hervorholen ;)

*
arbeite die bfu (und alles andere ab):
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
von ewido poste dann bitte den Scanreport

*
loeschen:...falls du es noch findest, nach dem Scan mit Ewido....

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000228.exe
C:\Programme\Gemeinsame Dateien\services.exe
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\Windows\ack.html
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows

C:\Programme\Freeprod Toolbar
C:\Programme\Network
C:\Programme\DNS
C:\Programme\InetGet
C:\Programme\InetGet2

Ähm, ich hab da nochmal ne Frage: Ich lass gerade dieses ewido-Ding laufen, aber das geht kaum voran. Bei dem Tempo müsste es noch etwa drei Tage laufen. Mach ich irgendwas falsch? Oder kann man das irgendwie schneller machen?

Zitat:

Oder kann man das irgendwie schneller machen?

beende alle anderen Anwendungen, die du eventuell am Laufen hast und schliesse alle Internetverbindungen.
Zur Not poste den Scanreport morgen ;)

Ja, das hat schon mal viel gebracht. Danke. Hätte man fast auch selber drauf kommen können...

So, nach dem ebenso simplen wie wertvollen letzten Tipp ist der Scan dann dochmal fertig geworden, hier das Ergebnis:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 21:05:48, 28.02.2006
+ Report-Checksumme: 25D0EF87

+ Scanergebnis:

C:\WINDOWS\system32\SWRT01.dll -> Adware.VirtualBouncer : Gesäubert mit Backup
C:\WINDOWS\winsysupd7.exe -> Downloader.VB.wg : Gesäubert mit Backup
C:\WINDOWS\myupdates.exe -> Downloader.Adload.l : Gesäubert mit Backup
C:\WINDOWS\winsysupd8.exe -> Hijacker.StartPage.ahg : Gesäubert mit Backup
C:\WINDOWS\winsysban8.exe -> Hijacker.VB.lg : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000137.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\InetGet\mc-110-12-0000228.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Windows\services32.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\b_shopping.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\dictionary.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\finance.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\games.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\highlighter.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\logo.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\megaseartb0300.cfg -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\news.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\popupblocker_off.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\popupblocker_on.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\popupblocker_ona.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\progression.gif -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\related_links.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\search.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\siteInfo.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\travel.bmp -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\NewCfg -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\MEGASEAR TOOLBAR\Cache\Sinfo.txt -> Adware.MegaSearch : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\INSTALL.LOG -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\UNWISE.EXE -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\toolbar.cfg -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\logo.ico -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\IUCmore.dll -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0 -> Adware.UCmore : Gesäubert mit Backup
C:\Programme\Toolbar888\ToolBar888.dll -> Adware.Softomate : Gesäubert mit Backup
C:\Programme\Network\ipnetwork.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012439.exe -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012441.dll -> Adware.BrilliantDigital : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012443.EXE -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012448.DLL -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012449.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012453.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012454.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012455.exe -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012457.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012459.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012461.exe -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012466.dll -> Adware.Altnet : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012478.DLL -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012479.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012480.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012481.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012483.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012484.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012485.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012486.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012487.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012488.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012489.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012490.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012526.EXE -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012527.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012528.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012529.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012530.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012531.dll -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012532.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012533.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012534.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP28\A0012535.exe -> Adware.Gator : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP31\A0013255.dll -> Dropper.Small.abe : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP31\A0013256.exe -> Downloader.Agent.a : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP31\A0013257.dll -> Dropper.Noname.a : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP37\A0016939.exe -> Dropper.WinAD.h : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017067.EXE -> Backdoor.Rbot.afu : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017458.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017471.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017483.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017503.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017515.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017539.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017554.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017566.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017579.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017591.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017608.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017622.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017638.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP38\A0017651.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017739.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017837.exe -> Downloader.VB.wd : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017838.exe -> Downloader.VB.wj : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017839.exe -> Dropper.Agent.mf : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017855.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017868.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017881.exe -> Downloader.VB.wd : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017889.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0017930.exe -> Dropper.Agent.aac : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP39\A0018064.exe -> Downloader.VB.wr : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018188.dll -> Adware.BargainBuddy : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018196.dll -> Hijacker.Small.jf : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018197.exe -> Hijacker.VB.le : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018199.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP43\A0018202.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\ucmoreiex.exe/UCMTSAIE.DLL -> Adware.Ucmore : Gesäubert mit Backup
C:\ucmoreiex.exe/IUCMORE.DLL -> Adware.Ucmore : Gesäubert mit Backup

::Report Ende

Vom Gefühl ist der Rechner auch wieder ok, er läuft auf jeden Fall wieder mit gewohnter Geschwindigkeit. Soll ich trotzdem noch irgendwas machen?

milanrichcrow

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Saeuberung wieder aktivieren)

2.
mache bitte einen Onlinescan mit Panda und poste den Scanreport
http://virus-protect.org/onlinescan.html

3.
dann moechte ich die 4 Textdateien von datfindbat sehen, du hattest nur den ersten gepostet !!!!
http://virus-protect.org/datfindbat.html

Zitat:

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

So, hier schon mal der Scan mit Panda:

Incident Status Location

Spyware:spyware/betterinet Not disinfected C:\WINDOWS\SYSTEM32\in10b6s.dll
Adware:adware/virtualbouncer Not disinfected C:\WINDOWS\SYSTEM32\INNERADINSTALL.LOG
Adware:adware/wupd Not disinfected C:\WINDOWS\SYSTEM32\ide21201.vxd
Adware:adware/favoriteman Not disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\ATPartners.inf
Adware:adware/localnrd Not disinfected C:\WINDOWS\INF\localNrd.inf
Adware:adware/ipinsight Not disinfected C:\WINDOWS\INF\conscorr.inf
Adware:adware/gator Not disinfected C:\WINDOWS\GatorUninstaller_cme.log
Spyware:application/bestoffer Not disinfected C:\WINDOWS\smdat32m.sys
Adware:adware/dollarrevenue Not disinfected C:\WINDOWS\teller2.chk
Adware:adware/addestroyer Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\AdDestroyer
Adware:adware/ucmore Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmen\Programme\UCmore - The Search Accelerator
Adware:adware/maxifiles Not disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet
Potentially unwanted tool:application/myway Not disinfected C:\PROGRAMME\MyWay
Adware:adware/mediatickets Not disinfected Windows Registry
Adware:Adware/BroadcastPC Not disinfected C:\DR21206.exe
Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\system32\in10b6s.dll
Adware:Adware/LocalNRD Not disinfected C:\WINDOWS\inf\localNrd.inf
Adware:Adware/IPInsight Not disinfected C:\WINDOWS\inf\conscorr.inf
Adware:Adware/NetPals Not disinfected C:\WINDOWS\Downloaded Program Files\ATPartners.inf
Adware:Adware/DollarRevenue Not disinfected C:\WINDOWS\winsysupd9.exe
Adware:Adware/DollarRevenue Not disinfected C:\WINDOWS\gimmygames11.exe
Adware:Adware/Ucmore Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmenü\Programme\UCmore - The Search Accelerator\UCmore Tour.lnk
Adware:Adware/Ucmore Not disinfected C:\Dokumente und Einstellungen\Ulf\Startmenü\Programme\UCmore - The Search Accelerator\How To Uninstall.lnk
Adware:Adware/Maxifiles Not disinfected C:\Programme\Gemeinsame Dateien\InetGet\freeprodtb.exe
Adware:Adware/VirtualBouncer Not disinfected C:\Programme\VBouncer\VirtualBouncerUninstaller.EXE
Potentially unwanted tool:Application/MyWay Not disinfected C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
Potentially unwanted tool:Application/MyWay Not disinfected C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
Potentially unwanted tool:Application/MyWay Not disinfected C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
Adware:Adware/Maxifiles Not disinfected C:\Recycled\Dc4\gimmysmileysB.exe
Adware:Adware/DollarRevenue Not disinfected C:\gimmygames11.exe
Adware:Adware/ClkOptimizer Not disinfected C:\installerwebnex.exe
Sorry, dass das so komisch angeordnet ist.

nun werde ich erst mal garnichts mehr anweisen, solange du mir nicht die 4 Textdateien von datfindbat postest...sonst werden wir nie fertig....
du hattest nur den ersten gepostet !!!!

http://virus-protect.org/datfindbat.html

Zitat:

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\