Trojaner-Board - Habe was aufgelesen !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Habe was aufgelesen ! (https://www.trojaner-board.de/44957-habe-aufgelesen.html)

Habe was aufgelesen !

Hallo
Erstmal bin ich riesig froh,hier eine Site gefunden zu haben,die mir HOFFENDLICH helfen kann.Ich habe auch schon fleissig gelesen bei Euch .Muss vielleicht noch anmerken,dass ich echt kein Computerfreak bin.D.h. ihr solltet mich als Laien betrachten.
Also nachdem ich bei Euch gelesen habe,habe ich einen eScan gemacht.Brauchte jetzt 3h bis ich endlich checkte,wie mn den PC von gesicherten Modus wieder in den Normalen Modus zurücksetzt.Habe einfach den Ordner Systemkonfigurationsprogramm nicht gefunden.Mann.....:heulen:

Jetzt habe ich den Editor MWAV auf dem PC gespeichert.Kann ich ihn jetzt erst mal hier rein posten?Möchte versuchen in der Killbox das Zeug zu löschen,aber vorher wollte ich es jemandem zeigen.Nicht,dass ich was lösche,was nicht sein sollte.
Hoffnungsvolle Grüsse sagen

Hi und :) Herzlich Willkommen im Trojaner-Board :)

Poste den escan mit Hilfe der in der Anleitung beschriebenen
find.bat in deinen nächsten Post. Hänge am besten einen
hijackthislog hinten dran zur groben Übersicht:

* HijackThis - Scan
1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final
2. Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
3. Führe die Datei aus und bestätige die Warnung mit "ok"
4. Wähle die Option "Do a System Scan and save a logfile"
5. poste den kompletten Inhalt des entstehenden LogFiles
6. Entferne persönliche Informationen sowie aktive Links

mfg Cleriker

Ok,hoffe es richtig gemacht zu haben.DANKE übrigens für die gute Erklärung,sonst wäre ich echt aufgeschmissen!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:54, on 22.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HiJackThis\HijackThis-Prüfung.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://internet.sunrise.ch/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191430722265
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.ch/ImageUploader4.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 10425 bytes

Hi,

Da ist schon wieder die ntos.exe:mad:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

Aber so wie dein Logfile aussieht, steht dein System genau
auf der Kippe zwischen sauber und Kompromitierung, da die
beiden Dateien video.exe und audio.exe fehlen.
Bevor du irgend etwas anderes machst, führe folgendes durch:

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Trenne jetzt dein Rechner vom Netz!!!
2.) Führe den Avenger aus und klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\ntos.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Jetzt kannst du dich wieder mit dem Netz verbinden.
Anschließend möchte ich die Protokolle des Avengers, des escans
und ein neues Hijackthislog sehen. Führe zusätzlich folgendes durch:

* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- Kopiere bitte den Cleaning-Report ab und poste ihn

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

mfg Cleriker

ok,hier schon mal den Text vom Avenger.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nlkhsxfs

*******************

Script file located at: \??\C:\WINDOWS\system32\lasolnvf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ntos.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

mache jetzt noch die beiden anderen Aufgaben.
gruss sagen

ok,hier noch der Text vom ccleaner und silentrunners:

ANALYSE komplett - (0.065 Sek)
------------------------------------------------------------------------------------------
0.78MB zu entfernen. (Ungefähre Größe)
------------------------------------------------------------------------------------------

Details der zu löschenden Dateien (Hinweis: Es wurden noch keine Dateien gelöscht)
------------------------------------------------------------------------------------------
IE Temporären Internetdateien (205 Dateien) 0.78MB
C:\Dokumente und Einstellungen\***\Cookies\*_*@messenger.msn[1].txt 96 Byte
C:\Dokumente und Einstellungen\***\Cookies\*_*@msn[2].txt 238 Byte
C:\Dokumente und Einstellungen\***\Cookies\*_*@od2[1].txt 102 Byte
C:\Dokumente und Einstellungen\***\Cookies\*_*@trojaner-board[1].txt 526 Byte
C:\Dokumente und Einstellungen\***\Cookies\*_*@www.ricardo[1].txt 77 Byte
------------------------------------------------------------------------------------------
und noch :
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]
"Sonic RecordNow!" = "*Z" (unwritable string) [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data]
"UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"eabconfg.cpl" = "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"mmtask" = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"" ["Musicmatch Inc."]
"USB2Check" = "RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController" [MS]
"USBToolTip" = ""C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"" ["Pinnacle Systems"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"OpwareSE4" = ""C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"" ["ScanSoft, Inc."]
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"MMTray" = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"" ["Musicmatch, Inc."]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}\(Default) = "Canon Easy Web Print Helper"
-> {HKLM...CLSID} = "EWPBrowseObject Class"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe," [MS], [file not found]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]

Startup items in "***" & "All Users" startup folders:
---------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}"
-> {HKLM...CLSID} = "HP-Ansicht"
\InProcServer32\(Default) = "C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}"
-> {HKLM...CLSID} = "HP-Ansicht"
\InProcServer32\(Default) = "C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}" = (no title provided)
-> {HKLM...CLSID} = "HP-Ansicht"
\InProcServer32\(Default) = "C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

HKLM\Software\Classes\CLSID\{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}\(Default) = "HP-Ansicht"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor MP160\Driver = "CNMLM83.DLL" ["CANON INC."]
Canon BJ Language Monitor S500\Driver = "CNMLM36.DLL" ["CANON INC."]

---------- (launch time: 2007-10-22 16:15:10)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 24 seconds, including 9 seconds for message boxes)

hoffe,Du kannst mir helfen....:heilig:

Sieht gut aus, dein System hat es wohl
unbeschadet überlebt. Jetzt noch den
Eintrag fixen und einen das escan-Protokoll
zur Sicherheit posten. Dann bist du durch hier :)

* HijackThis - Fix Cecked
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

es wird wahrscheinlich (file missing) hinter dem Eintrag stehen
- Scrolle nach unten und klicke auf "Fix checked"

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

Ich habe alles nach Deiner Anweisung gemacht.Habe den escan nochmal gemacht und es waren weniger Funde als letztes mal aber immer noch fast 100.Hier der Editor:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: English
Virus Database Date: 10/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: No Action Taken.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: No Action Taken.
System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: No Action Taken.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: No Action Taken.
System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: No Action Taken.
Object "p2p networking Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "need2findbar Toolbar" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
Offending file found: C:\WINDOWS\system32\unzip32.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\p2p networking !!!
Offending Key found: HKLM\Software\kazaa !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\msiede1egate.application.2 !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\MAGIX\Media_Manager\hrpjna01.dat not Scanned. Possibly password protected...
C:\Program Files\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe not Scanned. Possibly password protected...
C:\Programme\Musicmatch\Musicmatch Update\TDM\TDMInstall.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 14
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 132
Time Elapsed: 01:22:53
Total Objects Scanned: 107491
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Disabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 19:48:15.50
Batchende: 19:48:28.51

Hoffe es gibt noch Hoffnung!!?????:heulen:
Ich habe den Ad-Aware 2007 jetzt noch installiert und einen FullScan gemacht.Würde gerne den Log hier posten,weiss aber nicht wie ich hier vorgehen muss!??Markieren und rechte Maustaste?Das ist ja dann eine grosse Datei,wie mach ich die kleiner?

Hallo Cleriker

Ich hoffe Du hast mich nicht vergessen!??

Will auch nicht stressen,aber habe das Gefühl,jedesmal alles schlimmer zu machen,kaum das ich den PC starte.:heulen:

Hallo.
Hätte eventuell jemand anders etwas Zeit,um mein Problem anzuschauen?Ich bin ganz nervös,weil ich nicht weiss,was ich tun soll.Wäre superlieb...

Gruss sagen

Hallo
Ich habe inzwischen mit Ad Aware einige Funde gelöscht.Habe dann mit Spybot wenige Funde erhalten und auch gelöscht.Dann habe ich mit Antivir einen Check gemacht und diesen Poste ich jetzt mal.Wie muss ich weiter verfahren??Kann mir bitte jemand helfen??

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 23. Oktober 2007 11:09

Es wird nach 900754 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: *

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 07.09.2007 13:19:07
AVSCAN.DLL : 7.0.6.0 57384 Bytes 07.09.2007 13:19:07
LUKE.DLL : 7.0.5.3 147496 Bytes 07.09.2007 13:19:08
LUKERES.DLL : 7.0.6.0 10792 Bytes 07.09.2007 13:19:09
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:40:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 05:18:48
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16.10.2007 19:01:00
ANTIVIR3.VDF : 7.0.0.121 233472 Bytes 23.10.2007 08:45:43
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 18.10.2007 19:01:41
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 06:49:40
AVPREF.DLL : 7.0.2.2 25640 Bytes 07.09.2007 13:19:07
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 06:49:42
AVPACK32.DLL : 7.3.0.15 360488 Bytes 05.08.2007 08:25:06
AVREG.DLL : 7.0.1.6 30760 Bytes 07.09.2007 13:19:07
AVARKT.DLL : 1.0.0.20 278568 Bytes 07.09.2007 13:19:01
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 07.09.2007 13:19:06
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 06:49:41
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.09.2007 13:18:57
RCTEXT.DLL : 7.0.62.0 90152 Bytes 07.09.2007 13:18:57
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07.09.2007 13:19:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 23. Oktober 2007 11:09

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ymsgr_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mm_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PicasaMediaDetector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBTip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '38' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Dienstag, 23. Oktober 2007 11:53
Benötigte Zeit: 44:30 min

Der Suchlauf wurde vollständig durchgeführt.

6118 Verzeichnisse wurden überprüft
370875 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
370875 Dateien ohne Befall
2597 Archive wurden durchsucht
2 Warnungen
40 Hinweise

Hmm (Tschuldigung @Cleriker für die Einmischung),

Du hattest das hier noch drauf, ist dass inzwischen entfernt?
C:\WINDOWS\system32\wsnpoem\*.*
Die gehören zu Troj/Dloadr-AWJ (der gelöschten ntos.exe) und sollten ebenfalls eleminiert werden!

Zusaetzlich bitte noch Cureit nutzen Anleitung: DrWeb.Cureit
Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt

Poste das Log!

Abschließend noch ein SilentRunner-Log:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

Hallo Chris4You
Ich versuche immer den Cureit runterzuladen,aber irgendwie geht der Link nicht.Also Dein Link schon,aber der Downloadlink auf der Cureitsite nicht!???
Jedenfalls füge ich mal den Editor vom letzten EScan an.Das war gestern abend.Seither habe ich mit Ad Aware ein paar Dinge gelöscht und mit Spybot.Ist es theoretisch möglich,dass diese beiden Programme

"C:\WINDOWS\system32\wsnpoem\*.*" gelöscht haben könnten?
Also ich werde jetzt weiterhin versuchen das Cureit runterzuladen.

Gruss und Danke sagen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: English
Virus Database Date: 10/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: No Action Taken.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: No Action Taken.
System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: No Action Taken.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: No Action Taken.
System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll)! Action taken: No Action Taken.
Object "p2p networking Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "grokster Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "need2findbar Toolbar" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
Offending file found: C:\WINDOWS\system32\unzip32.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\p2p networking !!!
Offending Key found: HKLM\Software\kazaa !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\msiede1egate.application.2 !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\MAGIX\Media_Manager\hrpjna01.dat not Scanned. Possibly password protected...
C:\Program Files\Musicmatch\Musicmatch Update\MMJB\TDM\TDMInstall.exe not Scanned. Possibly password protected...
C:\Programme\Musicmatch\Musicmatch Update\TDM\TDMInstall.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 14
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 132
Time Elapsed: 01:22:53
Total Objects Scanned: 107491
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Disabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 19:48:15.50
Batchende: 19:48:28.51

Hi,

blockt die Firewall?
Das gefällt mir gar nicht....
Hier noch ein anderer Link: Cureit! von Dr.WEB - Virus Hilfe
Der Link geht, ich habe es gerade runtergeladen;
Theoretisch möglich, das Adware etc. das Verzeichnis gelöscht haben...

Bitte den Silentrunner nicht vergessen...
Poste auch noch das Hosts-File (C:\WINDOWS\system32\drivers\etc\hosts)

chris
(Bin jetzt im Anschluss weg...)

den Silentrunner mache ich anschliessend nach dem Cureit auch gleich und poste ihn.Was ist ein Hostfile??Bin echt eine Anfängerin...

Verdammt :mad:

Zitat:

System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: No Action Taken.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)!

Kannst aufhören, der Trojaner war doch zu vollen Zügen
aktiv. Demzufolge ist eine Bereinigung sinnfrei und nicht
zu gewährleisten. Siehe deine Systemdateien als verändert
und deine Logindaten als ausspioniert an. Folge bitte diesem Link:
* System neu aufsetzen mit anschließender Absicherung

mfg Cleriker

SCHEISSE!!Sorry....

Ich habe jetzt laut Chris den Cureit gemacht,dabei kam NICHTS zutage.Also sauber.Dann noch den Siletrunner,den poste ich gleich anschliessend hier.
@Cleriker,ist es unmöglich,dass evt.der Ad Aware 2007 den ich gestern noch ausführte und der Spybot,das Ding gekillt haben?Meine nur,weil jetzt der Cureit nichts anzeigt!???:heulen:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]
"Sonic RecordNow!" = "(empty string)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data]
"UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"eabconfg.cpl" = "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"mmtask" = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"" ["Musicmatch Inc."]
"USB2Check" = "RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController" [MS]
"USBToolTip" = ""C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"" ["Pinnacle Systems"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SSBkgdUpdate" = ""C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot" ["Scansoft, Inc."]
"OpwareSE4" = ""C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"" ["ScanSoft, Inc."]
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"MMTray" = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"" ["Musicmatch, Inc."]
"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard"]
"AAWTray" = "C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{68F9551E-0411-48E4-9AAF-4BC42A6A46BE}\(Default) = "Canon Easy Web Print Helper"
-> {HKLM...CLSID} = "EWPBrowseObject Class"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar4.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

Hi,

Silentrunner ist sauber, ...
Das Verzeichnis "wsnpoem" ist normalerweise unsichtbar, d. h. taucht im Explorer nicht auf...

Wir setzten mal Avenger darauf an:
Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Files to delete:
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

Folders to Delete:
C:\WINDOWS\system32\wsnpoem

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Poste das Avenger-Log (er wird uns sagen ob sie noch da waren und ob er sie eleminieren konnte)...

Combofix killt das Zeug auch:

Lade Combofix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop

Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen (der hängt sich sonst auf!).
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in den Thread einfuegen.

chris

ok, wenn ihr meint, aber ich kann nur immer
wieder darauf hinweisen, dass die Auswirkungen
dieses Trojaners nicht abzuschätzen sind ->Troj/Dloadr-AWJ
Die möglichen Auswirkungen auch nach der Bereinigung
können dir unangenehmere Konsequenzen liefern,
als ein Neu aufsetzen des Systems.

mfg Cleriker

Hi,

schließe mich der Meinung von Cleriker an, neu aufsetzten wäre besser.
Die Reinigung ist als Notmaßnahme zu sehen, um z. B. noch Backups von Daten etc. zu machen...

Chris

Hallo

raman hat mal SDfix in die Runde geworfen wenn ich mich recht erinnere.
SDFix

MFG

Hi zusammen

Also inzwischen habe ich die XP-CD eingeschoben und das Betriebssystem 1 x komplett neu installiert,danach die auf einer CD mitgelieferten Treiber installiert.Hatte keine Ahnung vom Partieren und habe einfach das C gemacht.Dann habe ich vor dem Internetzugang das AntiVir wieder installiert und bin erst mit dem Netz in Verbindung getreten beim Updaten von AntiVir und Windows.Dann musste ich einen Neustart machen und plötzlich stellte der PC immer wieder ab,startete neu,stellte ab,startete neu.Dauernd so.Die mit blauem Hintergrund versehene Fehlermeldung konnte ich kaum lesen,weil sie nur ne halbe Sekunde dastand und schon stellte der PC wieder ab.Es hiess irgendwas von Systemfehler aufgetreten.BIOS-Hersteller kontaktieren.BIOS updaten.Sicherstellen das genug Festplattenspeicher vorhanden ist.Treiber updaten.
Ich habe dann nochmal von der CD aus gestartet und das Betriebssystem diesmal repariert.Jetzt läuft es.Was mach ich jetzt am besten,bevor ich meine Daten wieder drauflade?Mein Kolege sagt,er hat ein Programm um mehrere Festplattenspeicher zu patieren.Dies sei sinnvoll,damit bei einem erneuten Virenbefall nicht mehr das komplette installiert werden müsse.Stimmt das?Bin grad dabei mit dem AntiVir mal einen Systemcheck zu machen.Es heisst jetzt schon wieder 2 Warnungen.Kann es sein,dass der Befall nicht bereinigt wurde?Warum sind meine installierten Programme noch drauf,obwohl ich neu installiert habe?Sollte jetzt nicht alles weg sein?Also bei neu installieren war alles weg,seim 2.Anlauf als ich reparierte sind jetzt viele Programme wieder da,aber einfach ohne die gesammelten daten.Auch Fotos,Videos,Musik ist weg.Komisch ist auch,dass ich jetzt beim AntiVir fast 400000 durchsuchte Dateinen sehe,vorher warens etwas über 120000.Kann es sein,dass ich jetzt plötzlich 2 xmal das Betriebssystem drauf habe?Hier jedenfalls mal der Editor vom AntVir.Mache jetzt mal noch den EScan.Komisch auch hier.Nach dem 1x Neuinstallation,1x Reperatur sind jetzt alle runtergeladenen Virenbekämpfer wie EScan,Ccleaner,Avenger ect...

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 24. Oktober 2007 16:57

Es wird nach 902036 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: *

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.9.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.8.2007 12:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.8.2007 14:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.8.2007 14:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.8.2007 14:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.9.2007 13:26:55
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16.10.2007 14:56:50
ANTIVIR3.VDF : 7.0.0.129 249344 Bytes 24.10.2007 14:56:50
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 24.10.2007 14:56:50
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.2.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.7.2007 06:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 3.8.2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.7.2007 06:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.8.2007 11:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.7.2007 06:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 8.3.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 7.8.2007 11:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.8.2007 11:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.7.2007 08:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 24. Oktober 2007 16:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eabservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '30' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Mittwoch, 24. Oktober 2007 17:58
Benötigte Zeit: 1:00:22 min

Der Suchlauf wurde vollständig durchgeführt.

7235 Verzeichnisse wurden überprüft
376229 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
376229 Dateien ohne Befall
2613 Archive wurden durchsucht
2 Warnungen
40 Hinweise

Hi,

wow viele Fragen auf einmal:

1.) Die beiden Warnungen haben nichts zu bedeuten, da diese Dateien von Windows gesperrt sind. Hast Du vor der Installation die Festplatte formatiert? Wenn nein, eine Reperaturinstallation überbügel Systemdateien und einige Einstellungen, d.h. die Wahrscheinlichkeit ist hoch, dass alle kleinen Tierchen noch am LEBEN sind! Und ja, bei einer Reperaturinst. kann es sein, dass alle Windows-Dateien "gedoppelt" werden (die alten und die neu drauf kopierten). Sehr unschön, setzte daher noch mal mit Formatieren neu auf:
Folge bitte dem Link: -> http://www.trojaner-board.de/12154-a...sicherung.html
Der Bluescreen kann entweder von den Trojanern herrühren oder von einer "falschen" Windows-CD (die verwenden, die mitgeliefert wurde (OEM-Windows-CD; Prüfen ob sowas wie "Rücksetzten/Urzustand herstellen" möglich ist, statt formatieren. Meistens lassen sich OEM-Windows-CDs NICHT auf ein frisch formatiertes System spielen, sondern eben nur ein Recovery (Ur-Zustand wiederherstellen) durchführen (Windows komplett mit Auslieferungsstand überbügeln, dazu wird aber geprüft ob dieses Windows schon installiert ist, was es nach dem Formatieren leider nicht mehr ist..)! Unbedingt prüfen, nicht das Du nach dem Formatieren mit einer nutzlosen OEM-Windows-CD da stehst... (Ja, MS weis eben wie man Geld verdient :o)

2.) Danach System sofort auf den neusten Stand bringen (SP2, MS-Update etc.)

3.) Üblicherweise so Partitionieren:
Partition C: Windows & Programme
Partition D: Alle Daten
Partition E: Sichern der Einstellungen von Windows (Registery,
wichtige Systemdateien) über Tools von Drittanbietern

Chris

Ich habe das Magic Partition 8.0 verwendet.Resp.mein Nachbar.Also formatiert.Danach haben wir das XP inkl.SP2 und die Treiber neu installiert.
Mein Nachbar sagte,es sei automatisch Buchstaben vergeben worden.Daher habe ich jetzt E für das Windows und die Programme,C für meine externe Festplatte,und P für meine privaten Sachen wie Fotos ect.