Computer hat Eigenleben
 

hey leute!

ich hab seit ein paar tagen ein problem mit meinem PC zu Hause.

er hat ein gewisses eigenleben entwickelt.
heut zum beispiel mach ich WInamp auf, er schreibt mir hin dass beim Soundoutput ein Treiber fehlt. ich starte neu, fehler nicht mehr da.

ich hab Xp mit dem blauen Design für die Taskleiste. ICh sitz beim PC, auf einmal stellt sich von selbst das graue Win2000 Design ein. nach ein paar Sekunden stellt es sich dann auf einmal von selbst wieder zurück.

ich hab keine ahnung was das sein könnte, und würd deshalb um Auswertung vom highjackthis file bitten

danke
brain


Logfile of HijackThis v1.99.1
Scan saved at 14:47:14, on 09.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Vtune\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
D:\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Gabriele\LOKALE~1\Temp\Rar$EX00.579\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Gainward] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [ijk] C:\WINDOWS\system32\ijk.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\partypoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\partypoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Print Spooler Service (rueemeecon) - Unknown owner - C:\WINDOWS\system32\ijk.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

Halli hallo brain.

Das sieht mir ganz nach einem Trojaner aus der die Druckerfreigabe benutzt.. Hängen noch andere Rechner im Netzwerk?


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

bin grad auf etwas sehr interessantes draufgekommen...

die Datei ist jetzt nicht mehr da!!:teufel1:
hab so wie du gesagt hast in den ordner geschaut und wollt dann mit Virustotal "durchsuchen" die ijk.exe öffnen, sie ist aber leider nicht da
hab dann geschaut ob ich sie einfach über das normale Windows fenster finde, hab alle versteckten dateien anzeigen lassen, und dann die Suche noch verwendet, aber sie ist irgendwie nicht auffindbar.

hab dann noch kurz ein Highjackthis-log laufen lassen, dort steht er aber unter den running programms noch drinnen, mit genau dem selben Pfad:
C:\WINDOWS\system32\ijk.exe

Das hört sich nicht so sehr prickelnd an..

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste die logFiles..

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

8) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

9) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

10) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

so, es ergibt sich folgendes Problem

es leif alles glatt bis jetzt, keine Probleme bis zu folgendem Punkt.

wollte Combofix ausführen, es kam die fehlermeldung des dieses Programm keine zulässige Win32 Anwendung ist.

wollte dann beim nächsten punkt weitermachen, ging aber nicht, weil mir in der mitte des Downloadvorganges die internetverbindung einbricht.

was nu?

hier die bisherigen files:

Punkt 1:


02/10/08 12:40:48 [Info]: BlackLight Engine 1.0.67 initialized
02/10/08 12:40:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/08 12:40:48 [Note]: 7019 4
02/10/08 12:40:48 [Note]: 7005 0
02/10/08 12:40:54 [Note]: 7006 0
02/10/08 12:40:54 [Note]: 7011 1888
02/10/08 12:40:54 [Note]: 7026 0
02/10/08 12:40:54 [Note]: 7026 0
02/10/08 12:40:55 [Note]: FSRAW library version 1.7.1024
02/10/08 12:41:55 [Note]: 2000 1012
02/10/08 12:41:55 [Note]: 2000 1012
02/10/08 12:44:43 [Note]: 7007 0



Punkt 2:

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"High Definition Audio Property Page Shortcut" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"]
"SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."]
"SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]
"Gainward" = "C:\Programme\Vtune\TBPanel.exe /A" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"Start WingMan Profiler" = "C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui" ["Logitech Inc."]
"ijk" = "C:\WINDOWS\system32\ijk.exe" [file not found]
"WinampAgent" = "D:\Winamp\winampa.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)"
-> {HKLM...CLSID} = "Skype add-on (mastermind)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{3AFCEAFB-FFC5-403D-AD33-5914AB4B7ECC}" = "Sldworks Shell Extension"
-> {HKLM...CLSID} = "SldShellExtension Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\SolidWorks Shared\sldshellutilsu.dll" [null data]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Gabriele" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar3.dll" ["Google Germany GmbH"]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{77BF5300-1474-4EC7-9980-D32B190E9B07}\
"ButtonText" = "Skype"
"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
-> {HKLM...CLSID} = "Skype add-on (button)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "D:\partypoker\PartyPoker\RunApp.exe" [empty string]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "D:\ICQ6\ICQ.exe" ["ICQ, Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
ForceWare IP service, nSvcIp, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe" ["NVIDIA Corporation"]
ForceWare user log service, nSvcLog, "C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe" ["NVIDIA Corporation"]
Forceware Web Interface, ForcewareWebInterface, ""C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice" ["Apache Software Foundation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2008-02-10 12:49:45)
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 43 seconds, including 24 seconds for message boxes)


Punkt 3)

SmitFraudFix v2.285

Scan done at 12:57:33,98, 10.02.2008
Run from D:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{109203A4-87EC-4905-9DAC-E09CE0538ECC}: NameServer=195.3.96.67 195.3.96.68
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BC7CB694-68D2-429A-A0E3-8FE2B1735336}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BC7CB694-68D2-429A-A0E3-8FE2B1735336}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{109203A4-87EC-4905-9DAC-E09CE0538ECC}: NameServer=195.3.96.67 195.3.96.68
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BC7CB694-68D2-429A-A0E3-8FE2B1735336}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\..\{109203A4-87EC-4905-9DAC-E09CE0538ECC}: NameServer=195.3.96.67 195.3.96.68
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BC7CB694-68D2-429A-A0E3-8FE2B1735336}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

mfg
brain

Ich bin kein Experte für das hochtechnische - da müssen die Profis ran! Aber nach Deiner Beschreibung drängt sich mir eine Frage auf: Hast Du Geschwister oder Freunde in Deinem Netzwerk, die "Computerenthusiasten" sind? :)

(Sorry für's dazwischenfunken!)

Grüße, schneipi

wenn du meinst, enthusiastisch im Sinn vom "alles umstellen was geht", nein, hab zwar nen Bruder aber der weiß auch was er am PC zu tun hat...

:) Hi Schneipi.

@brain:

Was ist das hier? Wenn du der nicht 100%tig vertruast dann lasse sie bitte auf VT überprüfen.

Die ijk.exe taucht auch in diesem log auf und irgendwie glaube ich nicht, dass sie wirklich nicht dort ist..

Durchsuche mal bitte die Registrierung nach ihr.

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER#

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann suchst du nach: ijk.exe

Danach starte ganz normal neu und poste ob und wo sie gefunden wurde..

Start->ausführen-> " regedit "->#ENTER#

das mit dem enter hab ich nicht so wirklich begriffen,
hab aber dann mit der suchfunktion wieder nach ijk.exe gesucht

komischerweise liegt die datei genau in dem vermuteten verzeichnis
C:\WINDOWS\system32\ijk.exe

obwohl ich sie noch immer nicht nicht sehe wenn ich normal in den ordner schaue...

:) du solltest regedit eingeben und danach die ENTER-Taste deiner Tastatur drücken..

hast du alle Einstellungen wie in meiner Signatur beschrieben vorgenommen??


Wechsel bitte in den abgesicherten Modus.

Dort suchst du bitte wie unten beschrieben mit Regedit nach ijk.exe. Wenn du den Schlüssel gefunden hast der zu der Datei gehört lösche ihn bitte.

Danach (immer noch im abgesicherten Modus) suchst du wie du es eben getan hast über die Suchfunktion nach der Datei an sich. Lösche sie.

Leere dann den Papierkorb und starte den Rechner im normalen Modus.

schlüssel im regedit hab ich gelöscht, aber die datei selbst ist noch immer nicht sichtbar

was nu?

:) das ist schon klar aber wenn du sie über die Suchfunktion findest dann lösche sie doch dort einfach!!
Aber bitte im abgesicherten Modus!

ich find sie ja über die normale windows fuchfunktion nicht, dass ist es ja grade was i ned versteh:heulen:

wie schauts denn mit avenger aus, würds mit dem funktionieren??

Jetzt verstehe ich langsam garnichts mehr von dem was du hier postest..

Du hast doch hier geschrieben du hättest sie gefunden..

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

vergiss den post von vorher, keine ahnung warums grad ned gangen ist, hat schon funktioniert
habs gelöscht, sry :)

:) kein Problem.

Parpierkorb ebenfalls gelöscht?

Dann fahre bitte mit den Punkten 6)-10) fort..

so, hab leider erst jetzt deine antwort gelesen, hab aber in der zwischenzeit schon einen e scan gamcht, und poste mal kurz die fehlermeldungen

File C:\Dokumente und Einstellungen\Gabriele\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "video activex access Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\Icq.XtraApi" verweist auf das ungültige Objekt "{95E8BB28-911A-45CE-9AE8-EC05FA106D2F}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\ICQPhone.SipxPhoneManager" verweist auf das ungültige Objekt "{82308D15-1A2C-416A-A5BE-21DAF85DDB75}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\SPhoneParser.FoundSkypeNumber" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\SPhoneParser.FoundSkypeNumber.1" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\Programme\Java\jre1.5.0_06\bin\javaws.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\MSXML3A.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "Plugins\npCortona.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "Plugins\plywood.jar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "d:\partypoker\PartyPoker\tmpUpgrade\..\..\PartyCasino\Language\de_DE\PartyCasinoRes.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\english\game.cfg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\french\game.cfg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\german\game.cfg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\italian\game.cfg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\japanese\game.cfg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\spanish\game.cfg". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\player\player_profiles_placeholder.txt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\player\default\default_profile_placeholder.txt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\player\default\savegames\savegames_placeholder.txt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\far cry\Profiles\server\mapcycle.txt". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\axdist.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\50comupd.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\Deaxdist.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\hhupd.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\Jaaxdist.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\Twaxdist.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\WindowsDesktopSearch-kb911993-V2-x86-ENU.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\Gabriele\LOKALE~1\Temp\WindowsDesktopSearchMUI-KB916513-x86-ENU.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxwma.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxinsi64.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxcpyi64.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PrintMe Internet Printing\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\english\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\french\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\german\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\italian\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\japanese\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\defaults\spanish\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\player\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\player\default\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\player\default\savegames\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\far cry\Profiles\server\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".bak". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".dgl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".evc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".key". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mds". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".nth". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".part". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pro". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".rdm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".shl". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".sis". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".thm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".tmp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".uvx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "ICQLite". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.1)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "ShockwaveFlash". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "VLC media player". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Gabriele\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Gabriele\Eigene Dateien\My Games\Titan Quest\TitanQuest1_20.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
File D:\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Lies dir die Anleitung zu eScan bitte nochmal ganz genau durch, werte das logfile mit Hilfe der find.bat aus und editiere deinen Post dann..

sry, editieren geht leider nicht mehr...

aber hier ist der ausgewertete escan


mit den punkten 6-10 funktionierts nicht, er schreibt nach wie vor dass combofix keine zulässige WIN32-Anwendung ist, und die Combofix.exe hat bei mir 0kb, weiß ned ob dass normal ist...

auf jeden fall hier mal find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.6.9
Sprache: German
Virus-Datenbank Datum: 2/9/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Gabriele\Eigene Dateien\My Games\Titan Quest\TitanQuest1_20.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-1482476501-1425521274-725345543-1003\Dc1.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Gabriele\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Gabriele\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in E\Shell\AutoRun\command: E:\MENU.EXE
Executable Command Found in G\Shell\AutoRun\command: G:\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Gabriele\LOKALE~1\TEMPOR~1\Content.IE5\3SDOJ9WE\GoogleNav[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3SDOJ9WE\GoogleNav[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 385286
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 94
Dauer des Scans bisher: 03:54:30
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert


mfg
brain
Batchstart: 6:27:44,17
Batchende: 6:30:40,12

Der combofix Link war falsch.


Combofix

Combofix

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Danach lasse cCleaner dein System bereinigen. Die Registry (blaues Bauklotz-Symbol links) musst du merhmals durchsuchen und bereinigen lassen bis nichts mehr gefunden wird.
Installation des cCleaners bitte ohne die Toolbar! Benutzerdefinierte Installation wählen.

Dann startest du den Rechner im normalen Modus neu.

so, combofix hat funktioniert, hier das ergebnis

regedit und cccleaner mach ich jetzt gleich, kommt sofort

ComboFix 08-02-11.2 - Gabriele 2008-02-11 15:00:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.733 [GMT 1:00]
ausgeführt von:: D:\Stefan\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\Q8BSB3XQ\www.broadcaster.com
C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-11 bis 2008-02-11 ))))))))))))))))))))))))))))))
.

2008-02-10 21:04 . 2008-02-10 21:04 22,063 --a------ C:\find.bat
2008-02-10 19:49 . 2008-02-10 19:49 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-10 19:49 . 2008-02-10 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-10 19:21 . 2008-02-11 01:01 0 --a------ C:\23990098.$$$
2008-02-10 17:01 . 2008-02-10 17:01 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-10 17:01 . 2008-02-10 17:01 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-02-10 17:01 . 2008-02-10 17:01 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-10 17:01 . 2008-02-10 17:01 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-02-10 17:01 . 2008-02-10 17:01 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-10 17:01 . 2008-02-10 17:01 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-02-10 17:01 . 2008-02-10 21:06 50 --a------ C:\WINDOWS\Lic.xxx
2008-02-10 16:39 . 2005-01-06 05:00 153,600 --a------ C:\WINDOWS\R.COM
2008-02-10 16:39 . 2005-01-06 05:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-02-10 12:52 . 2008-02-10 12:57 2,642 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-09 13:27 . 2008-02-09 13:27 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\Ebner
2008-02-09 13:26 . 2008-02-09 13:26 <DIR> d-------- C:\Programme\Ebner
2008-02-09 13:25 . 2008-02-09 13:25 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\LimeWire Store Purchased
2008-02-09 13:24 . 2008-02-09 13:24 <DIR> d-------- C:\Programme\LimeWire
2008-02-09 13:01 . 2008-02-09 13:01 <DIR> d-------- C:\Programme\VideoLAN
2008-02-03 21:30 . 2008-02-03 21:30 78,848 --a------ C:\WINDOWS\system32\drivers\SSHDRV85.sys
2008-02-02 15:15 . 2008-02-02 15:15 120,320 --a------ C:\WINDOWS\system32\drivers\SSHDRV65.sys
2008-01-27 19:51 . 2008-02-07 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\skypePM
2008-01-27 19:51 . 2008-01-27 19:51 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-27 19:50 . 2008-01-27 19:50 <DIR> d-------- C:\Programme\Skype
2008-01-27 19:50 . 2008-01-27 19:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-01-27 19:50 . 2008-02-07 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\Skype
2008-01-27 19:49 . 2008-01-27 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-27 13:37 . 2008-01-27 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\DRM
2008-01-27 13:37 . 2008-01-27 13:37 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-01-27 13:36 . 2008-01-27 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\Winamp
2008-01-27 10:30 . 2008-01-27 10:30 35 --a------ C:\WINDOWS\WorldBuilder.INI
2008-01-21 19:59 . 2008-01-21 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\DassaultSystemes
2008-01-21 19:59 . 2008-01-21 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DassaultSystemes
2008-01-13 15:39 . 2008-01-13 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\Armagetron
2008-01-13 15:39 . 2008-01-13 15:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Armagetron

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 12:32 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\LimeWire
2008-02-09 12:26 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-02-07 14:35 --------- d-----w C:\Programme\ICQToolbar
2008-02-06 18:56 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\Hamachi
2008-02-06 17:52 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\teamspeak2
2008-02-06 15:11 29,240 -c--a-w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-21 15:47 --------- d-----w C:\Programme\Gemeinsame Dateien\SolidWorks Shared
2008-01-21 15:45 --------- d-----w C:\Programme\Gemeinsame Dateien\eDrawings2007
2008-01-21 15:37 --------- d-----w C:\Programme\SolidWorks
2008-01-21 15:28 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\DynaGeo
2008-01-16 20:45 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\SolidWorks
2008-01-10 18:16 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\DWGeditor
2008-01-10 18:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Solidworks Data
2008-01-05 19:08 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-01-05 12:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-22 15:52 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\ICQ
2007-12-16 18:14 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\ICQ Toolbar
2007-12-16 15:07 --------- d-----w C:\Dokumente und Einstellungen\Gabriele\Anwendungsdaten\InstallShield
2007-12-10 18:21 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-25 16:38 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-01-06 05:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 07:58 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 02:11 925696]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 15:35 716800]
"Gainward"="C:\Programme\Vtune\TBPanel.exe" [2006-09-13 10:16 2154496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-13 05:19 7626752]
"nwiz"="nwiz.exe" [2006-07-13 05:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-13 05:19 86016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-31 16:58 249896]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2005-01-06 05:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"Start WingMan Profiler"="C:\Programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 15:03 93208]
"WinampAgent"="D:\Winamp\winampa.exe" [2008-01-15 23:54 37376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-01-06 05:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 07:58 68856]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-12-10 15:57 133016 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-11-21 01:47 172280 D:\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2008-02-02 15:15]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2008-02-03 21:30]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2005-02-01 16:30]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2005-02-01 16:30]
S2 rueemeecon;Print Spooler Service;C:\WINDOWS\system32\ijk.exe []
S3 PCD65X2;PCD65X2;C:\DOKUME~1\Gabriele\LOKALE~1\Temp\PCD65X2.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\MENU.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\Launch.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\Autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-11 15:01:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-11 15:05:18
ComboFix-quarantined-files.txt 2008-02-11 14:05:17

hab jetzt regedit durchgeführt, ich hab die ersten beiden Pfade nicht nachverfolgen können...

ich krieg seit heute eine neue fehlermeldung:

wenn ich im internet bin, kommt folgende fehlermeldung:

Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden.

Mist, das siet nach noch viel mehr Ärger aus als ich dachte..
Das Combofix log kommt mir viel zu bekannt vor. Könnte gut der Wurm Alacra sein...


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Moin

die Datei dürfte eScan angelegt haben und sollte 0kb haben ebenso diese
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe


MFG

genau so ist es, der ordner in WINDOWS ist leer.

was meint ihr, ist es vernünftiger den PC neu aufzusetzen??

:) Daher also der Bekannheitsgrad.. danke nochdigger.. ^^

Ob ein Neuaufsetzten erforderlich ist werden wir mit der online Überprüfung herausfinden..

Überprüfe bitte diese Dateien:

C:\WINDOWS\WMSysPr9.prx

C:\WINDOWS\WorldBuilder.INI

C:\WINDOWS\system32\ijk.exe

die ersten beiden konnte ich scannen, bei beiden dateien wurden keine fehler gefunden.

ijk.exe konnt ich wieder nicht scannen, da die datei mit der windows suche nicht auffindbar war.

Die verarscht uns ja ganz gut..

Guck bitte mal nach ob der Registrierungsschlüssel der ijk.exe wieder vorhanden ist. Du hattest ihn ja eigentlich gelöscht..
Wenn er wieder da ist (oder ein neuer der auch auf die Datei verwaist) dann poste bitte mal den kompletten Pfad des Schlüssels.

Hinweis: Es kann mehrere Schlüssel zu einer Datei geben. Wenn du also einen gefunden hast musst du danach weitersuchen lassen..

[EDIT] Doppelgemoppel

also des ist jetzt aber sehr interessant

schlüssel ist gefunden:

name: ImagePath
Typ: REG_EXPAND_SZ
Wert: C:\WINDOWS\system32\ijk.exe\service

Start -> Ausführen -> " services.msc > C:\services.txt "

Poste bitte den Inhalt der C:\services.txt.

Ist das def. der einzige Schlüssel?

wenn ich ijk.exe eingeb, dann kommen folgende, aber nur bei dem einen ateht das von der datei dabei

wie bekomm ich die txt von den services??

ich in ausführen die zeile ein, dann kommt ein fenster, und dann??

O.k. dann anders.

Öffne die Dienste:

Start -> Ausführen -> services.msc

Dann gehst du auf "Aktion" -> Liste exportieren -> und dann als Komma getrennt abspeichern (.csv).

Hier posten.

Name,Beschreibung,Status,Autostarttyp,Anmelden als
.NET Runtime Optimization Service v2.0.50727_X86,Microsoft .NET Framework NGEN,,Manuell,Lokales System
Ablagemappe,Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Deaktiviert,Lokales System
Anmeldedienst,Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne.,,Manuell,Lokales System
AntiVir PersonalEdition Classic Guard,Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.,Gestartet,Automatisch,Lokales System
AntiVir PersonalEdition Classic Planer,Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates.,Gestartet,Automatisch,Lokales System
Anwendungsverwaltung,Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation.,,Manuell,Lokales System
Arbeitsstationsdienst,Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,Gestartet,Automatisch,Lokales System
ASP.NET State Service,Provides support for out-of-process session states for ASP.NET. If this service is stopped, out-of-process requests will not be processed. If this service is disabled, any services that explicitly depend on it will fail to start.,,Manuell,Netzwerkdienst
Automatische Updates,Aktiviert den Download und die Installation von Windows-Updates. Der Computer kann automatische Updates oder die Windows Update-Website nicht verwenden, falls der Dienst deaktiviert wird.,Gestartet,Automatisch,Lokales System
Bluetooth Support Service,,Gestartet,Automatisch,Lokaler Dienst
COM+-Ereignissystem,Unterstützt den Systemereignis-Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden.,Gestartet,Manuell,Lokales System
COM+-Systemanwendung,Verwaltet die Komponentenkonfiguration und -überwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgemäß funktionsfähig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren.,,Manuell,Lokales System
Computerbrowser,Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden.,Gestartet,Automatisch,Lokales System
DCOM-Server-Prozessstart,Bietet Startfunktionalität für DCOM-Dienste.,Gestartet,Automatisch,Lokales System
Designs,Stellt die Designverwaltung zur Verfügung.,Gestartet,Automatisch,Lokales System
DHCP-Client,Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden.,Gestartet,Automatisch,Lokales System
Distributed Transaction Coordinator,Koordiniert Transaktionen, die sich über mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. ,,Manuell,Netzwerkdienst
DNS-Client,Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,Gestartet,Automatisch,Netzwerkdienst
Druckwarteschlange,Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken.,Gestartet,Automatisch,Lokales System
Eingabegerätezugang,Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Deaktiviert,Lokales System
Ereignisprotokoll,Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden.,Gestartet,Automatisch,Lokales System
Error Reporting Service,Allows error reporting for services and applictions running in non-standard environments.,Gestartet,Automatisch,Lokales System
ForceWare IP service,,Gestartet,Automatisch,Lokales System
ForceWare user log service,,Gestartet,Automatisch,Lokales System
Forceware Web Interface,Apache,Gestartet,Automatisch,Lokales System
Gatewaydienst auf Anwendungsebene,Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung und den Windows-Firewall.,Gestartet,Manuell,Lokaler Dienst
Geschützter Speicher,Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.,Gestartet,Automatisch,Lokales System
Google Updater Service,,,Manuell,Lokales System
Hilfe und Support,Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfügbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,Gestartet,Automatisch,Lokales System
HTTP-SSL,Implementiert das Secure HyperText Transfer-Protokoll (HTTPS) für den HTTP-Dienst unter Verwendung des Secure Socket Layers (SSL). Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,Gestartet,Manuell,Lokales System
IMAPI-CD-Brenn-COM-Dienste,Verwaltet das Aufnehmen von CDs mit IMAPI (Image Mastering Applications Programming Interface). Auf diesem Computer können keine CDs aufgenommen werden, wenn dieser Dienst angehalten wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,,Manuell,Lokales System
Indexing Service,Indexes contents and properties of files on local and remote computers provides rapid access to files through flexible querying language.,,Manuell,Lokales System
Intelligenter Hintergrundübertragungsdienst,Überträgt Daten zwischen Clients und Servern im Hintergrund. Falls BITS deaktiviert ist, können Funktionen, wie z. B. Windows Update, nicht ordnungsgemäß ausgeführt werden.,,Manuell,Lokales System
IPSEC-Dienste,Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber.,Gestartet,Automatisch,Lokales System
Kompatibilität für schnelle Benutzerumschaltung,Bietet Verwaltung für Anwendungen, die Unterstützung in einer Mehrbenutzerumgebung erfordern.,Gestartet,Manuell,Lokales System
Konfigurationsfreie drahtlose Verbindung,Bietet automatische Konfiguration für 802.11-Adapter.,Gestartet,Automatisch,Lokales System
Kryptografiedienste,Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt den Dienst für geschützten Stammspeicher, der Zertifikate vertrauenswürdiger Stammzertifizierungsstellen zu diesem Computer hinzufügt und entfernt und den Schlüsseldienst, der diesen Computer bei Einschreibungen in Zertifikate unterstützt. Wenn dieser Dienst beendet wird, werden diese Verwaltungsdienste nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,Gestartet,Automatisch,Lokales System
Leistungsdatenprotokolle und Warnungen,Sammelt basierend auf einem vorkonfigurierten Zeitplan Systemleistungsdaten vom lokalen oder von Remotecomputern und schreibt die Daten in ein Protokoll oder löst eine Warnung aus. Wenn dieser Dienst beendet wird, werden keine Leistungsinformationen mehr gesammelt. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Manuell,Netzwerkdienst
Messenger USN Journal Reader-Service für freigegebene Ordner,Ein von Messenger installierter Service, der Freigabeszenarien ermöglicht,,Manuell,Lokales System
MS Software Shadow Copy Provider,Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte Schattenkopien können nicht verwaltet werden, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,,Manuell,Lokales System
Nachrichtendienst,Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,,Deaktiviert,Lokales System
NetMeeting-Remotedesktop-Freigabe,Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting über ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfügbar. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,,Manuell,Lokales System
Netzwerk-DDE-Dienst,Ermöglicht Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgeführt werden. Wenn dieser Dienst beendet wird, wird der DDE-Transport und die DDE-Sicherheit nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Deaktiviert,Lokales System
Netzwerk-DDE-Serverdienst,Verwaltet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE-Netzwerkfreigaben mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Deaktiviert,Lokales System
Netzwerkverbindungen,Verwaltet Objekte im Ordner 'Netzwerk- und DFÜ-Verbindungen' , in dem sowohl LAN-, als auch WAN-Verbindungen angezeigt werden.,Gestartet,Manuell,Lokales System
Netzwerkversorgungsdienst,Verwaltet XML-Konfigurationsdateien auf Domänenbasis für automatische Netzwerkversorgung.,,Manuell,Lokales System
NLA (Network Location Awareness),Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt Anwendungen, wenn diese Informationen sich ändern.,Gestartet,Manuell,Lokales System
NT-LM-Sicherheitsdienst,Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden.,,Manuell,Lokales System
NVIDIA Display Driver Service,Provides system and desktop level support to the NVIDIA display driver,Gestartet,Automatisch,Lokales System
Plug & Play,Ermöglicht dem Computer, Hardwareänderungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilität beeinträchtigen.,Gestartet,Automatisch,Lokales System
PnkBstrA,PunkBuster Service Component [v1029] http://www.evenbalance.com,Gestartet,Automatisch,Lokales System
Portable Media Serial Number Service,Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.,,Manuell,Lokales System
Print Spooler Service,,,Automatisch,Lokales System
QoS-RSVP,Bietet Programmen und Systemsteuerungssymbolen, die QoS unterstützen, Installationsfunktionen zur Steuerung von Netzwerksignalen und lokalem Netzwerkverkehr.,,Manuell,Lokales System
RAS-Verbindungsverwaltung,Stellt eine Netzwerkverbindung her.,Gestartet,Manuell,Lokales System
Remoteprozeduraufruf (RPC),Endpunktzuordnung und andere verschiedene RPC-Dienste.,Gestartet,Automatisch,Netzwerkdienst
Remote-Registrierung,Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,Gestartet,Automatisch,Lokaler Dienst
Routing und RAS,Bietet Routingdienste in LAN- und WAN-Netzwerkumgebungen.,,Deaktiviert,Lokales System
RPC-Locator,Verwaltet die Datenbank für den RPC-Namensdienst.,,Manuell,Netzwerkdienst
Sekundäre Anmeldung,Ermöglicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,Gestartet,Automatisch,Lokales System
Server,Unterstützt Datei-, Drucker- und Named-Piped-Freigabe für diesen Computer über das Netzwerk. Diese Funktionen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,Gestartet,Automatisch,Lokales System
ServiceLayer,,,Manuell,Lokales System
Shellhardwareerkennung,Zeigt Meldungen für AutoPlay-Hardwareereignissse an.,Gestartet,Automatisch,Lokales System
Sicherheitscenter,Überwacht Systemsicherheitseinstellungen und -konfigurationen.,Gestartet,Automatisch,Lokales System
Sicherheitskontenverwaltung,Speichert Sicherheitsinformationen für lokale Benutzerkonten.,Gestartet,Automatisch,Lokales System
Sitzungs-Manager für Remotedesktophilfe,Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses Dienstes nicht verfügbar sein. Bevor Sie diesen Dienst beenden, schauen Sie sich die Registerkarte "Abhängigkeiten" im Dialog "Eigenschaften" an.,,Manuell,Lokales System
Smartcard,Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Manuell,Lokaler Dienst
SolidWorks Licensing Service,Provides authentication services for SolidWorks applications,,Manuell,Lokales System
SSDP-Suchdienst,Aktiviert die Ermittlung von UPnP-Geräten auf Heimnetzwerken.,Gestartet,Manuell,Lokaler Dienst
Systemereignisbenachrichtigung,Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen.,Gestartet,Automatisch,Lokales System
Systemwiederherstellungsdienst,Führt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.,Gestartet,Automatisch,Lokales System
Taskplaner,Ermöglicht einem Benutzer, automatische Vorgänge auf diesem Computer zu konfigurieren und zu planen. Wenn dieser Dienst beendet wird, werden diese Vorgänge nicht zu den geplanten Zeiten ausgeführt werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Deaktiviert,Lokales System
TCP/IP-NetBIOS-Hilfsprogramm,Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung.,Gestartet,Automatisch,Lokaler Dienst
Telefonie,Bietet Telefonie-API-Unterstützung (TAPI) für Programme, die Telefoniegeräte steuern, sowie IP-basierte Sprachverbindungen am lokalen Computer und über das LAN, auf Servern, die diesen Dienst ebenfalls ausführen.,Gestartet,Manuell,Lokales System
Telnet,Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden.,,Deaktiviert,Lokales System
Terminaldienste,Ermöglicht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern, sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage für Remotedesktops (einschließlich RD für Administratoren), schnelle Benutzerumschaltung, Remoteunterstützung und Terminalserver.,Gestartet,Manuell,Lokales System
Treibererweiterungen für Windows-Verwaltungsinstrumentation,Unterstützt Systemverwaltunginformationen von Treibern.,,Manuell,Lokales System
Überwachung verteilter Verknüpfungen (Client),Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdomäne aufrecht.,Gestartet,Automatisch,Lokales System
Uninterruptible Power Supply,Manages an uninterruptible power supply (UPS) connected to the computer.,,Manuell,Lokaler Dienst
Universeller Plug & Play-Gerätehost,Ermöglicht es, den Computer als Host für universelle Plug & Play-Geräte einzurichten.,,Manuell,Lokaler Dienst
Verwaltung für automatische RAS-Verbindung,Erstellt eine Verbindung zu einem Remotenetzwerk, wenn ein Programm eine Remote-DNS- oder -NetBIOS-Adresse referenziert.,,Manuell,Lokales System
Verwaltung logischer Datenträger,Erkennt und überwacht neue Festplattenlaufwerke und sendet Festplatteninformationen zur Konfiguration an den Verwaltungsdienst für die Verwaltung logischer Datenträger. Wenn dieser Dienst beendet wird, können Statusinformationen für dynamische Festplatten und Konfigurationsinformationen veraltet oder ungültig werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,Gestartet,Automatisch,Lokales System
Verwaltungsdienst für die Verwaltung logischer Datenträger,Konfiguriert Festplattenlaufwerke und -volumes. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet.,,Manuell,Lokales System
Volumeschattenkopie,Verwaltet und implementiert Volumeschattenkopien, die zu Sicherungs- und anderen Zwecken verwendet werden. Wenn dieser Dienst beendet wird, werden keine Schattenkopien für Sicherungen verfügbar sein und die Sicherung kann eventuell fehlschlagen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,,Manuell,Lokales System
Warndienst,Benachrichtigt bestimmte Benutzer und Computer bezüglich administrativer Warnungen. Falls der Dienst beendet wird, können Programme, die administrative Warnungen verwenden, diese Warnungen nicht mehr empfangen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,,Deaktiviert,Lokaler Dienst
WebClient,Ermöglicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,Gestartet,Automatisch,Lokaler Dienst
Wechselmedien,,,Manuell,Lokales System
Windows Audio,Verwaltet Audiogeräte für Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audiogeräte und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.,Gestartet,Automatisch,Lokales System
Windows Installer,Fügt Anwendungen, die als ein Windows Installer-Paket (*.msi) angeboten werden, hinzu bzw. ändert oder entfernt sie. Wenn dieser Dienst deaktiviert ist, können alle Dienste, die explizit davon abhängen, nicht gestartet werden.,,Manuell,Lokales System
Windows User Mode Driver Framework,Enables Windows user mode drivers.,Gestartet,Automatisch,Lokaler Dienst
Windows-Bilderfassung (WIA),Bietet Bilderfassungsdienste für Scanner und Kameras.,Gestartet,Automatisch,Lokales System
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung,Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz.,Gestartet,Automatisch,Lokales System
Windows-Verwaltungsinstrumentation,Bietet eine standardmäßige Schnittstelle und Objektmodell zum Zugreifen auf Verwaltungsinformationen über das Betriebssystem, Geräte, Anwendungen und Dienste. Die meiste Windows-basierte Software kann nicht ordnungsgemäß ausgeführt werden, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.,Gestartet,Automatisch,Lokales System
Windows-Zeitgeber,Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfügbar. Wenn der Dienst deaktiviert wird, können alle anderen Dienste, die explizit davon abhängen, nicht gestartet werden.
,,Deaktiviert,Lokales System
WMI-Leistungsadapter,Bietet Leistungsbibliotheksinformationen der WMI-HiPerf-Anbieter.,,Manuell,Lokales System

Ähm. Magst du die bitte anhängen dann kann ich sie in Excel öffnen..

kanns sein, dass ich die .xls nicht so einfach dranhängen kann??

Ich bins jetzt so durchgegangen..

Wir versuchen nochmal die Datei zu löschen..

Wechsel in den abgesicherten Modus.

dor löscht du mit Avenger die Datei C:\WINDOWS\system32\ijk.exe

danach löscht du den Registrierungsschlüssel und lässt cCleaner laufen.

Neustarten, nach Schlüssel und Datei suchen.

hab alles gemacht was du gesagt hast

von zeit zu zeit taucht aber ein schlüssel auf, mit dem namen 000, typ: REG_SZ
Wert: ijk

datei selbst wird aber über die suchfunktion nicht mehr gefunden

so, i hab mi jetzt entschlossen meinen PC neu aufzusetzen:)

ich danke euch allen, vor allem dir undoreal, für die wahnsinnsunterstützung:D:D

mfg
brain

ohje...ich hätt gern gewusst,was das fürn ding ist und wie das gelöscht werden könnte

hmpff.. grummel.. *ich zerknirscht bin* das war echt ein fieses Teil. Erleb ich selten sowas..

War aber eindeutig die beste Entscheidung! :daumenhoc

Dem Rechner hätte ich auch eine erfolgreichen Bereinigung nie wieder ganz vertraut...

hab ich mir auch gedacht

selbst wenn der trojaner dann weg wäre, kanns leicht sein dass irgendwo noch etwas herumrennt:)

aber danke
mfg
brain