Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner) (https://www.trojaner-board.de/44321-bitte-hijack-log-pruefen-vundo-conhook-trojaner.html)

alterschwede 06.10.2007 19:42
Bitte Hijack-Log prüfen (Vundo und ConHook Trojaner)
 
Hallo, habe zunehmend Fehler- bzw. Fundmeldungen mit Trojaner Vundo.Gen und ConHook.Gen von Antivir bekommen. Quarantäne oder Löschen geht nicht, Dateien sind geschützt, auch im abgesicherten Modús. Habe dann mit Hijack den Logfile erzeugt. Bitte einmal checken, was zu tun ist.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:22, on 06.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Logitech\QuickCam10\COCIManager.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\User\Eigene Dateien\HiJackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDsnJKz/X5XzqmqioGYWFphvJaeqciojIKXyqkpwmLwecmOrN4qx7QjnQdhOR0nIXHRmuzBFZfR33aXjsm6aMlWDnCznJl2VhY5vSJiFHQWi85DELOuCfJk4EIwzgB5FGbd/d+0duiVoyeCRSxCu8iBThdgSYtFtfY
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {23A9FBB4-8240-48CB-B196-5813155BF8FE} - C:\WINDOWS\system32\awvvt.dll (file missing)
O2 - BHO: (no name) - {6012F3FD-62BE-4E13-AD9A-7D8C8F9E2B8C} - C:\WINDOWS\system32\ssqrr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: {df446208-1a14-3bfa-0534-083437bb36c7} - {7c63bb73-4380-4350-afb3-41a1802644fd} - C:\WINDOWS\system32\qwctsnhx.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Programme\Starware369\bin\Starware369.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Starware Musik-Toolbar - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Programme\Starware369\bin\Starware369.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: awtttur - C:\WINDOWS\SYSTEM32\awtttur.dll
O20 - Winlogon Notify: awvvt - C:\WINDOWS\system32\awvvt.dll (file missing)
O20 - Winlogon Notify: geeba - C:\WINDOWS\
O20 - Winlogon Notify: jkklj - C:\WINDOWS\
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\
O20 - Winlogon Notify: ssttq - C:\WINDOWS\system32\ssttq.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7068 bytes

nochdigger 07.10.2007 06:09
Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann bitte diese Anleitungen der Reihe nach abarbeiten

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Die Logs kannst du als Codetags posten das ist in der Antwortbox dieses Zeichen #.
Das sieht dann so aus auch in der Vorschau;)
Code:
Vorschau
MFG

alterschwede 07.10.2007 09:43
Hallo nochdigger,
danke erstmal für die Anleitung.
Habe versucht, vundofix.exe zu starten, bekomme aber einen Laufzeitfehler gemeldet wegen fehlendem RPC-Server.
Den Rest der Anleitung konnte ich umsetzen, unten sind alle Ergebnisse dargestellt. Hoffe, du kannst mir da weiterhelfen...

Combofix habe ich gestartet mit folgendem Ergebnis:
Code:
ComboFix 07-10-07.1 - Chipsy 2007-10-07 10:00:08.1 - NTFSx86
ausgeführt von:: E:\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\abeeg.tmp
C:\WINDOWS\system32\awtst.dll
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.ini
C:\WINDOWS\system32\jlkkj.ini
C:\WINDOWS\system32\jlkkj.ini2
C:\WINDOWS\system32\jlkkj.ini2
C:\WINDOWS\system32\jlkkj.tmp
C:\WINDOWS\system32\jlkkj.tmp
C:\WINDOWS\system32\opqss.bak1
C:\WINDOWS\system32\opqss.bak1
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.bak2
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\opqss.ini2
C:\WINDOWS\system32\opqss.tmp
C:\WINDOWS\system32\opqss.tmp
C:\WINDOWS\system32\qttss.bak1
C:\WINDOWS\system32\qttss.ini
C:\WINDOWS\system32\rrqss.bak1
C:\WINDOWS\system32\rrqss.bak1
C:\WINDOWS\system32\rrqss.ini
C:\WINDOWS\system32\rrqss.ini
C:\WINDOWS\system32\ssqrr.dll
C:\WINDOWS\system32\tstwa.bak1
C:\WINDOWS\system32\tstwa.bak1
C:\WINDOWS\system32\tstwa.ini
C:\WINDOWS\system32\tstwa.ini
C:\WINDOWS\system32\tvvwa.bak1
C:\WINDOWS\system32\tvvwa.bak1
C:\WINDOWS\system32\tvvwa.bak2
C:\WINDOWS\system32\tvvwa.bak2
C:\WINDOWS\system32\tvvwa.ini
C:\WINDOWS\system32\tvvwa.ini
C:\WINDOWS\system32\tvvwa.ini2
C:\WINDOWS\system32\tvvwa.ini2
C:\WINDOWS\system32\tvvwa.tmp
C:\WINDOWS\system32\tvvwa.tmp

.
(((((((((((((((((((((((  Dateien erstellt von 2007-09-07 bis 2007-10-07  ))))))))))))))))))))))))))))))
.

2007-10-07 09:59        51,200        --a------        C:\WINDOWS\NirCmd.exe
2007-10-06 19:54        <DIR>        d--------        C:\Programme\Trojancheck 6
2007-10-06 18:40        <DIR>        d--------        C:\Programme\Trend Micro
2007-10-06 16:49        <DIR>        d--------        C:\WINDOWS\pss
2007-10-06 16:36        <DIR>        d--------        C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2007-10-06 16:26        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-06 16:26        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-06 16:26        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-06 16:26        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-06 16:26        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-06 16:26        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-06 16:26        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-06 16:26        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-06 16:26        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Roxio
2007-10-06 14:36        <DIR>        d--------        C:\Dokumente und Einstellungen\Chipsy\Anwendungsdaten\Logitech
2007-10-06 14:36        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2007-10-06 14:34        69,632        --a------        C:\WINDOWS\system32\KemXML.dll
2007-10-06 14:34        163,840        --a------        C:\WINDOWS\system32\kemutb.dll
2007-10-06 14:34        135,168        --a------        C:\WINDOWS\system32\KemUtil.dll
2007-10-06 14:34        110,592        --a------        C:\WINDOWS\system32\KemWnd.dll
2007-10-06 14:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Chipsy\Anwendungsdaten\InstallShield
2007-09-24 19:24        24,576        --a------        C:\WINDOWS\system32\msxml3a.dll
2007-09-24 19:24        <DIR>        d--------        C:\Programme\soft Xpansion
2007-09-16 12:44        23,552        --a------        C:\WINDOWS\system32\awtttur.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-07 10:04        0        --a------        C:\WINDOWS\system32\drivers\lvuvc.hs
2007-10-06 16:42        ---------        d--------        C:\Programme\Roxio
2007-10-06 16:42        ---------        d--------        C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-10-06 16:42        ---------        d--------        C:\Programme\Gemeinsame Dateien\Roxio Shared
2007-10-06 16:42        ---------        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Roxio
2007-10-06 14:34        ---------        d--h-----        C:\Programme\InstallShield Installation Information
2007-10-06 14:34        ---------        d--------        C:\Programme\Logitech
2007-10-06 14:34        ---------        d--------        C:\Programme\Gemeinsame Dateien\Logitech
2007-10-06 14:34        ---------        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-10-03 18:36        ---------        d--------        C:\Programme\ICQToolbar
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23A9FBB4-8240-48CB-B196-5813155BF8FE}]
                        C:\WINDOWS\system32\awvvt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7c63bb73-4380-4350-afb3-41a1802644fd}]
                        C:\WINDOWS\system32\qwctsnhx.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" [2006-06-26 11:33]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-06 15:09]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2005-09-28 20:11]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-05 11:31]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2005-08-31 20:27]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtttur]
awtttur.dll 2007-09-16 12:44 23552 C:\WINDOWS\system32\awtttur.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvvt]
C:\WINDOWS\system32\awvvt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeba]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkklj]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpo]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssttq]
C:\WINDOWS\system32\ssttq.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\6803b7ad]
rundll32.exe "C:\WINDOWS\system32\alumjual.dll",sitypnow

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
"C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Muscbrigade]
c:\Musicbrigade\Musicbrigade.exe check

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
"C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]
HDAShCut.exe

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-07 10:08:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-07 10:08:57 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-07 10:08
.
        --- E O F ---
Mit Filelist habe ich weitergemacht und das Ergebnis sieht wie folgt aus.
Code:
----- Root -----------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\

07.10.2007  10:08            9.597 ComboFix.txt
07.10.2007  10:08            3.700 ComboFix-quarantined-files.txt
07.10.2007  10:04      535.416.832 hiberfil.sys
07.10.2007  10:04      805.306.368 pagefile.sys
06.10.2007  20:59              211 boot.ini
06.10.2007  18:32              559 down.txt
06.10.2007  18:32            13.232 tmp.txt
06.10.2007  18:31            10.100 system.txt
06.10.2007  18:30            4.603 systemtemp.txt
06.10.2007  18:28          100.309 system32.txt
29.09.2007  15:06              268 sqmdata02.sqm
29.09.2007  15:06              244 sqmnoopt02.sqm
28.09.2007  19:07              268 sqmdata01.sqm
28.09.2007  19:07              244 sqmnoopt01.sqm

 
----- System32 -------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\WINDOWS\system32

07.10.2007  10:08            39.472 nvapps.xml
06.10.2007  19:32            1.158 wpa.dbl
06.10.2007  16:55          665.800 FNTCACHE.DAT
06.10.2007  16:39              184 ROXECDC6Inst.log
06.10.2007  14:58          693.832 laujmula.ini
06.10.2007  14:57          402.406 perfh009.dat
06.10.2007  14:57          416.982 perfh007.dat
06.10.2007  14:57            63.016 perfc009.dat
06.10.2007  14:57            75.868 perfc007.dat
06.10.2007  14:57          970.772 PerfStringBackup.INI
06.10.2007  14:56          693.781 wetdtjgb.ini
06.10.2007  14:39          693.652 urfcxvxk.ini
06.10.2007  14:28          693.532 cufrfonf.ini
05.10.2007  10:07          279.552 swreg.exe
01.10.2007  18:58          693.550 vrrpnlvh.ini
01.10.2007  16:40          693.481 mnootavu.ini
29.09.2007  19:51          693.412 reghacgm.ini
16.09.2007  12:44            23.552 awtttur.dll

 
----- Prefetch -------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\WINDOWS\Prefetch

06.10.2007  21:08            36.546 LOGONUI.EXE-0AF22957.pf
06.10.2007  21:08          117.462 GUARDGUI.EXE-1BD45C30.pf
06.10.2007  21:07          108.296 RUNDLL32.EXE-1198D8AF.pf
06.10.2007  21:06            6.994 CNMSE85.EXE-0C030348.pf
06.10.2007  20:48            32.230 VERCLSID.EXE-3667BD89.pf
06.10.2007  20:38            40.350 ACRORD32INFO.EXE-30CEC19C.pf
06.10.2007  20:32          191.968 IEXPLORE.EXE-2CA9778D.pf
06.10.2007  20:26            86.362 WMIPRVSE.EXE-28F301A9.pf
06.10.2007  20:14            19.434 RUNDLL32.EXE-268BFF96.pf
06.10.2007  20:12          259.530 HELPSVC.EXE-2878DDA2.pf
06.10.2007  20:02            37.278 WUAUCLT.EXE-399A8E72.pf
06.10.2007  20:02            86.262 RUNDLL32.EXE-13404D23.pf
06.10.2007  19:47          133.558 ACRORD32.EXE-0EC716D9.pf
06.10.2007  19:36            61.668 WLLOGINPROXY.EXE-33926225.pf
06.10.2007  19:34            22.328 RUNDLL32.EXE-451FC2C0.pf
06.10.2007  19:33            67.350 WINWORD.EXE-259486DA.pf
06.10.2007  19:33            29.026 COCIMANAGER.EXE-313FBACD.pf
06.10.2007  19:33            46.886 WGATRAY.EXE-0ED38BED.pf
06.10.2007  19:33            17.888 REGSVR32.EXE-25EEFE2F.pf
06.10.2007  19:33          109.564 ALG.EXE-0F138680.pf
06.10.2007  19:33        1.453.616 NTOSBOOT-B00DFAAD.pf
06.10.2007  16:56            50.582 SERVER4PC.EXE-052DE72B.pf
06.10.2007  16:56            70.202 ICQLITE.EXE-2AEFACA7.pf
06.10.2007  16:56            29.370 OSA.EXE-0082CBE3.pf
06.10.2007  16:54            21.350 DRWTSN32.EXE-2B4B52AC.pf
06.10.2007  16:54            55.302 DWWIN.EXE-30875ADC.pf
06.10.2007  16:40            28.686 ROXWATCHTRAY.EXE-28A63364.pf
06.10.2007  16:33            16.038 CPSHELPRUNNER.EXE-370067AB.pf
06.10.2007  16:01            96.854 ROXMEDIADB.EXE-38A88C3C.pf
06.10.2007  16:01            22.988 RUNDLL32.EXE-35A483DA.pf
06.10.2007  16:01            39.488 READER_SL.EXE-36135169.pf
06.10.2007  15:58            34.378 RUNDLL32.EXE-30CFBD82.pf
06.10.2007  15:53            50.998 DUMPREP.EXE-1B46F901.pf
06.10.2007  15:10            59.320 AVGNT.EXE-36CA4640.pf
06.10.2007  15:02            28.244 RTHDCPL.EXE-06918CFA.pf
06.10.2007  14:57            33.922 WMIADAP.EXE-2DF425B2.pf
06.10.2007  14:55            19.228 MSMSGS.EXE-32066BA5.pf
06.10.2007  14:54            43.440 WMPLAYER.EXE-09969332.pf
06.10.2007  14:49            14.890 CTFMON.EXE-0E17969B.pf
06.10.2007  14:41            16.880 QUICKCAM10.EXE-353074FB.pf
06.10.2007  14:30            17.866 LOGITECHUPDATE.EXE-3B93BDCC.pf
03.10.2007  18:40            12.074 UNINS000.EXE-11B87541.pf
03.10.2007  18:40            22.266 UNINSTALL.EXE-22BE9351.pf
03.10.2007  18:39            25.094 SERVER2GO.EXE-01399635.pf
03.10.2007  18:39            37.568 PHP-CLI.EXE-2D416439.pf
03.10.2007  18:39            61.222 MEINEHOMEPAGE5.EXE-374E8FD6.pf
03.10.2007  18:38            16.298 SEEKMOSADF.EXE-19E359A0.pf
03.10.2007  18:38            25.088 ZAN4D.EXE-0297E011.pf
03.10.2007  18:38            29.754 SEEKMOUNINSTALLER.EXE-12F390BF.pf
03.10.2007  18:37            24.738 ZAN46.EXE-3295E9EC.pf
03.10.2007  18:37            30.136 RUNDLL32.EXE-2E70BAC7.pf
03.10.2007  18:36            56.804 SRV.EXE-188B7EC9.pf
03.10.2007  18:36            22.884 CMD.EXE-087B4001.pf
03.10.2007  18:30            28.902 LVCOMSX.EXE-31391BCB.pf
03.10.2007  18:04            19.954 RUNDLL32.EXE-21F1DAF7.pf
01.10.2007  19:51            61.576 WMPLAYER.EXE-09969338.pf
01.10.2007  18:57            82.650 EXCEL.EXE-3281D776.pf
01.10.2007  18:48            10.524 RSVP.EXE-04E70CF3.pf
01.10.2007  17:52            29.590 RUNDLL32.EXE-3823DD55.pf
01.10.2007  17:51            32.574 RUNDLL32.EXE-2FD2C5FA.pf
01.10.2007  17:47            29.432 RUNDLL32.EXE-16EAAE2D.pf
01.10.2007  17:46            29.506 RUNDLL32.EXE-22D38BE3.pf
01.10.2007  17:45            29.420 RUNDLL32.EXE-35704AAF.pf
01.10.2007  17:44            29.408 RUNDLL32.EXE-35163813.pf
01.10.2007  17:44            29.506 RUNDLL32.EXE-40FF15C9.pf
01.10.2007  17:44            29.646 RUNDLL32.EXE-41592865.pf
01.10.2007  17:30            63.770 LFS.EXE-0977C2AD.pf
01.10.2007  16:55            32.442 USNSVC.EXE-1D8C2356.pf
01.10.2007  16:44            20.546 RUNDLL32.EXE-2E0B6E5D.pf
29.09.2007  19:51            48.026 IMAPI.EXE-0BF740A4.pf
29.09.2007  19:51            79.082 EXPLORER.EXE-082F38A9.pf
29.09.2007  19:51            23.868 TASKMGR.EXE-20256C55.pf
29.09.2007  19:49            25.048 RUNDLL32.EXE-43E12E6E.pf
29.09.2007  19:44            40.470 IEDW.EXE-2D047874.pf
29.09.2007  19:34            20.424 RUNDLL32.EXE-293751C7.pf
29.09.2007  15:06            17.424 RUNDLL32.EXE-1354DCCD.pf
29.09.2007  13:24            17.136 RUNDLL32.EXE-2E5AF1D7.pf
29.09.2007  13:03          361.666 Layout.ini
29.09.2007  12:58            12.070 SSPIPES.SCR-151C97BA.pf
29.09.2007  12:27            97.414 SKYPEPM.EXE-03F1BFBD.pf
28.09.2007  17:55            74.142 DFRGNTFS.EXE-269967DF.pf
28.09.2007  17:55            17.552 DEFRAG.EXE-273F131E.pf
28.09.2007  16:43            19.516 RUNDLL32.EXE-2DC135B5.pf
25.09.2007  16:19            28.668 VIDEOEFFECTSPERFMON.EXE-1C8E6908.pf
25.09.2007  16:16            57.694 WMPLAYER.EXE-09969333.pf
25.09.2007  15:46            30.074 RUNDLL32.EXE-26F78D86.pf
25.09.2007  15:43            20.702 RUNDLL32.EXE-4A528855.pf
25.09.2007  15:43            77.362 STYLE ADVISOR.EXE-1F6E034F.pf
24.09.2007  20:23            17.076 RUNDLL32.EXE-4B532FFE.pf
24.09.2007  20:21            29.652 RUNDLL32.EXE-32E06B3C.pf
24.09.2007  20:07            28.924 RUNDLL32.EXE-1FC5E6A1.pf
24.09.2007  20:03            30.360 RUNDLL32.EXE-13DD08EB.pf
24.09.2007  19:24            26.074 SETUP.EXE-393E66AE.pf
23.09.2007  13:52            39.268 SETUP_WM.EXE-19AC5A9B.pf
23.09.2007  12:01            28.648 AGENTSVR.EXE-002E45AB.pf
23.09.2007  11:56            48.124 MSTORDB.EXE-31FDF221.pf
23.09.2007  11:54            20.678 RUNDLL32.EXE-35D70D60.pf
16.09.2007  12:44            29.288 OPT1.EXE-0495FDD8.pf
07.09.2007  20:22            14.342 CALC.EXE-02CD573A.pf
07.09.2007  20:15            52.702 WMPLAYER.EXE-09969339.pf
07.09.2007  20:08            41.340 WIAACMGR.EXE-212ED878.pf
07.09.2007  19:26            28.790 RUNDLL32.EXE-38B88895.pf
07.09.2007  19:25            30.392 RUNDLL32.EXE-2729919C.pf
05.09.2007  19:17            21.830 MSPAINT.EXE-11CBB631.pf

----- Windows --------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\WINDOWS

07.10.2007  10:06          425.403 WindowsUpdate.log
07.10.2007  10:04            2.048 bootstat.dat
06.10.2007  21:08              405 wiadebug.log
06.10.2007  21:08            32.622 SchedLgU.Txt
06.10.2007  20:59              573 win.ini
06.10.2007  20:59              227 system.ini
06.10.2007  19:32                0 0.log
06.10.2007  19:31                50 wiaservc.log
06.10.2007  18:21            1.818 EventSystem.log
06.10.2007  18:10              116 NeroDigital.ini
06.10.2007  16:47              478 setuplog.txt
06.10.2007  16:26          219.644 ntbtlog.txt
06.10.2007  14:58          687.197 setupapi.log
06.10.2007  14:48          232.988 setupact.log
06.10.2007  14:35                86 KE.log
06.10.2007  14:35            29.716 DPINST.LOG
28.09.2007  09:06          135.168 catchme.exe
23.09.2007  13:53            54.014 wmsetup.log

----- Tasks ----------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\WINDOWS\tasks

06.10.2007  21:08                6 SA.DAT

 
----- Wintemp --------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\WINDOWS\temp

 
----- Temp -----------------------------
 Datentr„ger in Laufwerk C: ist Big C
 Volumeseriennummer: 6803-B702

 Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp

07.10.2007  10:22          119.839 filelist.txt
              1 Datei(en)        119.839 Bytes
              0 Verzeichnis(se), 136.106.455.040 Bytes frei

nochdigger 07.10.2007 10:37
Hallo

zeige uns bitte aus der Filelist den System32 Ordner komplett an (könnte sehr lang sein).

MFG

alterschwede 07.10.2007 13:19
Hallo, hier die gesamte Filelist für system32.
File war zu groß für einen direkten Post hier, habe es als Anlage in 6 Textfiles dazugepackt. Sch.. ich kann aber nur 4 Anhänge machen. Die restlichen zwei schiebe ich gleich hinterher.

Hoffe, das hilft weiter....

alterschwede 07.10.2007 13:21
Hallo,
hier noch die zwei fehlenden Textfiles für den Ordner Windows\System32.
Good luck und hoffentlich bis bald..
alterschwede

nochdigger 07.10.2007 15:49
Hallo

so da bin ich wieder

Lade dir bitte Avenger

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
Files to delete:
C:\WINDOWS\system32\laujmula.ini
C:\WINDOWS\system32\wetdtjgb.ini
C:\WINDOWS\system32\urfcxvxk.ini
C:\WINDOWS\system32\cufrfonf.ini
C:\WINDOWS\system32\vrrpnlvh.ini
C:\WINDOWS\system32\mnootavu.ini
C:\WINDOWS\system32\reghacgm.ini
C:\WINDOWS\system32\awtttur.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Erstelle auch noch bitte ein neues Hijackthis Log.

MFG

alterschwede 10.10.2007 18:23
Hallole,
jetzt erst komme ich wieder an den PC, war unterwegs.
Die Resultate sind wie folgt:

avenger ausgeführt

Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ewhclgbg

*******************

Script file located at: \??\C:\WINDOWS\nfukfqem.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\laujmula.ini deleted successfully.
File C:\WINDOWS\system32\wetdtjgb.ini deleted successfully.
File C:\WINDOWS\system32\urfcxvxk.ini deleted successfully.
File C:\WINDOWS\system32\cufrfonf.ini deleted successfully.
File C:\WINDOWS\system32\vrrpnlvh.ini deleted successfully.
File C:\WINDOWS\system32\mnootavu.ini deleted successfully.
File C:\WINDOWS\system32\reghacgm.ini deleted successfully.
File C:\WINDOWS\system32\awtttur.dll deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jwiyjikr

*******************

Script file located at: \??\C:\ambaqocb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\laujmula.ini not found!
Deletion of file C:\WINDOWS\system32\laujmula.ini failed!

Could not process line:
C:\WINDOWS\system32\laujmula.ini
Status: 0xc0000034



File C:\WINDOWS\system32\wetdtjgb.ini not found!
Deletion of file C:\WINDOWS\system32\wetdtjgb.ini failed!

Could not process line:
C:\WINDOWS\system32\wetdtjgb.ini
Status: 0xc0000034



File C:\WINDOWS\system32\urfcxvxk.ini not found!
Deletion of file C:\WINDOWS\system32\urfcxvxk.ini failed!

Could not process line:
C:\WINDOWS\system32\urfcxvxk.ini
Status: 0xc0000034



File C:\WINDOWS\system32\cufrfonf.ini not found!
Deletion of file C:\WINDOWS\system32\cufrfonf.ini failed!

Could not process line:
C:\WINDOWS\system32\cufrfonf.ini
Status: 0xc0000034



File C:\WINDOWS\system32\vrrpnlvh.ini not found!
Deletion of file C:\WINDOWS\system32\vrrpnlvh.ini failed!

Could not process line:
C:\WINDOWS\system32\vrrpnlvh.ini
Status: 0xc0000034



File C:\WINDOWS\system32\mnootavu.ini not found!
Deletion of file C:\WINDOWS\system32\mnootavu.ini failed!

Could not process line:
C:\WINDOWS\system32\mnootavu.ini
Status: 0xc0000034



File C:\WINDOWS\system32\reghacgm.ini not found!
Deletion of file C:\WINDOWS\system32\reghacgm.ini failed!

Could not process line:
C:\WINDOWS\system32\reghacgm.ini
Status: 0xc0000034



File C:\WINDOWS\system32\awtttur.dll not found!
Deletion of file C:\WINDOWS\system32\awtttur.dll failed!

Could not process line:
C:\WINDOWS\system32\awtttur.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.
escan laufen lassen mit folgenden Fehlermeldungen:
Code:
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "video activex access Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "seekmo Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "zango Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "180searchassistant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "direct advertiser Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "direct advertiser Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\DSP.DSP" verweist auf das ungültige Objekt "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\DSP.DSPDMOProp_Chorus.1" verweist auf das ungültige Objekt "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQPhone.SipxPhoneManager" verweist auf das ungültige Objekt "{82308D15-1A2C-416A-A5BE-21DAF85DDB75}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "c:\WINDOWS\system32\Macromed\Flash\GetFlash.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "c:\WINDOWS\system32\Macromed\Flash\UninstFl.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "c:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\{5E8A1B08-0FBD-4543-9646-F2C2D0D05750}\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "c:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Installer\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{CA762865-65CF-AD44-0BF6-500860DDAB3E}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Hijackthis laufen lassen mit folgendem Resultat:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:32, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {23A9FBB4-8240-48CB-B196-5813155BF8FE} - C:\WINDOWS\system32\awvvt.dll (file missing)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: {df446208-1a14-3bfa-0534-083437bb36c7} - {7c63bb73-4380-4350-afb3-41a1802644fd} - C:\WINDOWS\system32\qwctsnhx.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [6803b7ad] rundll32.exe "C:\WINDOWS\system32\alumjual.dll",sitypnow
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-2247603978-253037496-2599101566-1007\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-2247603978-253037496-2599101566-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2247603978-253037496-2599101566-1007\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geeba - C:\WINDOWS\
O20 - Winlogon Notify: jkklj - C:\WINDOWS\
O20 - Winlogon Notify: ssqpo - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6757 bytes
PC braucht zum Booten und WinXP-Start nun ca. 5 Minuten.
Und der Explorer ist auch infiziert, der lässt kein Kopieren und Einfügen mehr zu. Sch...
Ich gebe jetzt auf und werde am Wochenende alles platt machen und neu aufsetzen.
Vielleicht findest du noch eine Lösung, in jedem Fall vielen Dank für die detaillierte Unterstützung seither.

Grüßle
Udo


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19