Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   services.exe verlangsamt Notebook (https://www.trojaner-board.de/51009-services-exe-verlangsamt-notebook.html)

Alisamaus 24.03.2008 14:52
services.exe verlangsamt Notebook
 
Hallo und Schöne Ostern, mir ist vor ein paar Tagen aufgefallen, dass mein Laptop etwas langsamer wurde. Ich habe Windows XP. Daraufhin habe ich mir im Task-Manager die laufenden Prozesse angesehen. Ich habe festgestellt, dass die sogenannte services.exe eine Auslastung des CPU von 30%-40%, oder auch mal höher, vornimmt. RegSeeker hat in dieser Services.exe einen Trojaner erkannt. Ich habe den zwar mit RegSeeker gelöscht, aber er ist immer noch auf der Festplatte. Wie werde ich diesen Schädling wieder los? Hier die Log-Files von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:50, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\***\Desktop\Down\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.info-mails.de/startseite.php3
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {E62CA489-7AFF-44A2-AB0E-84BF790594CC} - C:\WINDOWS\system32\dx7vb32.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.de/redirect/startpage/dial_up/deu
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 9176 bytes

Falls ich eine Forum-Regel nicht beachtet haben sollte, dann bitte ich schon mal vorab um Verzeihung. Ich bin heute zum ersten mal hier und ziemlich nervös, da ich um meinen Computer fürchte.
Für eure Hilfe oder hilfreiche Tipps bin ich sehr dankbar.

Alisa

Lizzaran 24.03.2008 16:11
services.exe selbst ist kein Virus, es ist eine System Datei die bei dir infiziert wurde.

Und so einfach löschen wirst dus nicht können da sich der Trojaner selbst warscheinlich in die Systemwiederherstellung eingenistet hat.

Ich selbst kenn mich damit nicht wirklich aus. Also will ich dir jetzt mal keine falsche Lösung sagen.

mfg.

Vista_User 24.03.2008 16:18
Das bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.info-mails.de/startseite.php3

Und lad die Datei services.exe mal bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das Ergebnis.

Alisamaus 24.03.2008 16:38
Danke für eure Antworten. Also, info-mails wurde gefixt und ist verschwunden. Den Scanner von Virus-Total habe ich auch laufen lassen. Die Zeitangabe ist nur etwas seltsam, da ich das eben erst getan habe. Hier nun das Ergebnis des Scans:
Datei services.exe empfangen 2008.03.23 22:21:15 (CET)
Status: Beendet

Ergebnis: 0/32 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.23 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 -
AVG 7.5.0.516 2008.03.22 -
BitDefender 7.2 2008.03.23 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.23 -
DrWeb 4.44.0.09170 2008.03.23 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 -
FileAdvisor 1 2008.03.23 -
Fortinet 3.14.0.0 2008.03.23 -
F-Prot 4.4.2.54 2008.03.22 -
F-Secure 6.70.13260.0 2008.03.23 -
Ikarus T3.1.1.20 2008.03.23 -
Kaspersky 7.0.0.125 2008.03.23 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.23 -
Prevx1 V2 2008.03.23 -
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.23 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.23 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 -
weitere Informationen
File size: 108544 bytes
MD5: edb6b81761bd60f32f740bbc40afb676
SHA1: 91289092113e122893e9914bb0c8f112b4db99a6
PEiD: -
Danke und Gruß Alisa

Vista_User 24.03.2008 18:22
Alisamaus,

ist Dein NB jetzt immer noch langsam oder besteht das Problem nicht mehr?

Müsste eigentlich noch bestehen...

Alisamaus 24.03.2008 21:24
Hallo, NB ist immer noch langsam. Sieht so aus, als wäre das eine Sache, die länger dauert. Leider kenne ich mich da viel zu wenig aus. Ich werde wohl doch noch zu irgend so einem selbst ernannten Fachmann in ein Geschäft gehen müssen. Den Laptop unterm Arm. Das wollte ich eigentlich vermeiden. Wer weiß, was dann ist. Aber Danke für deine Nachfrage. Da fühlt man sich wenigstens nicht so allein! Alisa

Vista_User 25.03.2008 09:13
Hallo Alisa,

ich denke du musst nicht extra zum Fachmann rennen, das lohnt sich nicht.

Leg die Recovery CD ins NB und mach die Recovery.


Wenn es dann immer noch langsam ist, DANN gehst du zum Fachmann.

Alisamaus 25.03.2008 15:15
Oh je, beim Scannen mit VirSCAN ist nun das hier aufgetaucht:

VirSCAN.org Scanned Report :
Scanned time : 2008/03/25 14:04:51 (CET)
Scanner results: 3% der Scanner (1/36) haben Malware gefunden!
File Name : services.exe
File Size : 108544 byte
File Type : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : edb6b81761bd60f32f740bbc40afb676
SHA1 : 91289092113e122893e9914bb0c8f112b4db99a6
Online report : VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)

Scanner Engine Ver Sig Ver Sig Date Time Scan result
A-Squared 3.0.0.126 2008.03.24 2008-03-24 33.64 -
AhnLab V3 2008.03.25.01 2008.03.25 2008-03-25 11.70 -
AntiVir 7.6.0.75 7.0.3.70 2008-03-25 20.35 -
Arcavir 1.0.4 200803241318 2008-03-24 11.34 -
Avast 1.0.8 080324-0 2008-03-24 16.36 -
AVG 7.5.51.442 269.21.8/1337 2008-03-20 13.86 -
BitDefender 7.60825.1022441 7.18179 2008-03-25 22.87 -
CA (VET) 9.0.0.143 31.3.5641 2008-03-25 13.05 -
ClamAV 0.92 6391 2008-03-25 0.02 -
Comodo 2.11 2.0.0.475 2008-03-25 3.58 -
CP Secure 1.1.0.715 2008.03.25 2008-03-25 45.66 -
Dr.Web 4.44.0.9170 2008.03.25 2008-03-25 20.03 -
Ewido 4.0.0.2 2008.03.24 2008-03-24 15.55 -
F-Prot 4.4.1.52 20080324 2008-03-24 14.26 -
F-Secure 5.51.6100 2008.03.25.03 2008-03-25 19.00 -
Fortinet 2.81-3.11 8.884 2008-03-25 8.05 -
ViRobot 20080325 2008.03.25 2008-03-25 2.10 -
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 4.66 -
JiangMin 10.00.650 2008.03.25 2008-03-25 3.22 -
Kaspersky 5.5.10 2008.03.25 2008-03-25 28.45 -
KingSoft 2007.6.20.249 2008.3.25 2008-03-25 5.92 -
McAfee 5.2.00 5258 2008-03-24 7.89 -
Microsoft 1.3301 2008.03.25 2008-03-25 10.72 -
mks_vir 2.01 2008.03.25 2008-03-25 3.52 -
Norman 5.91.10 5.90 2008-03-19 9.70 -
Panda 9.04.03.0001 2008.03.24 2008-03-24 3.96 -
Trend Micro 8.500-1001 5.186.03 2008-03-24 0.04 -
Prevx V2 20080325 2008-03-25 4.22 TROJAN.DOWNLOADER.GEN
Quick Heal 9.00 2008.03.24 2008-03-24 3.25 -
Rising 20.0 20.37.02.00 2008-03-24 2.54 -
Sophos 2.71.3 4.27 2008-03-25 13.77 -
Symantec 1.3.0.24 20080324.005 2008-03-24 1.67 -
nProtect 2008-03-25.00 1248842 2008-03-25 5.81 -
The Hacker 6.2.92 v00253 2008-03-24 1.91 -
VBA32 3.12.6.3 20080325.0457 2008-03-25 4.33 -
VirusBuster 4.3.19:9 9.123.20/11.0 2008-03-24 5.14 -

TROJAN.DOWNLOADER.GEN????
Was ist denn das und warum können es die anderen Programme nicht erkennen? Ein Zufall wird das ja nicht sein, denn meine services.exe ist immer noch fleißig am Schufften. Belastet den Prozessor mit fast 40%.
Hilft da jetzt nichts anderes mehr, als den Laptop neu zu formatieren?

Gruß Alisa

Vista_User 25.03.2008 16:56
Hi Alisa,

ich denke, dass das ein Fehlalarm ist, da 1/36, das ist gar nichts.

Naja, also ich würde schon formatieren, bevor ich zum Fachmann rennen würde.

Wenn das Prob. dann noch besteht, dann geh zum Fachmann.

Alisamaus 25.03.2008 17:00
na dann werde ich morgen mal alles zusammen packen. Schade nur um die vielen Daten. Ob die Dateien auf meinem USB-Strick auch infiziert wären, wenn dies doch ein "echter" Trojaner is?

nochdigger 25.03.2008 18:23
Hallo

lass bitte mal diese Datei
Zitat:
C:\WINDOWS\system32\dx7vb32.dll
hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.


MFG

Alisamaus 25.03.2008 20:02
Hallo, danke für deine Antwort. Ich glaube, ich habe mir da eine Seuche an Land gezogen.

Dateiname : dx7vb32.dll
Größe : 18386 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : 82e9d4a96829e7390d728977540199cf
SHA1 : b81fe3ef2c2009a5eb653933b67e6c86bed55aab
Scan Ergebnis
Scan Ergebnis : 64% der Scanner (23/36) haben Malware gefunden!
Zeit : 2008/03/25 19:56:26 (CET)
Scanner Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.24 2008-03-24 - 4.878
AhnLab V3 2008.03.26.00 2008.03.26 2008-03-26 - 1.243
AntiVir 7.6.0.75 7.0.3.72 2008-03-25 ADSPY/Bho.aa.1 5.546
Arcavir 1.0.4 200803251006 2008-03-25 Adware.Bho.Aa 3.165
Avast 1.0.8 080324-0 2008-03-24 Win32:Trojano-3384 [Trj] 4.720
AVG 7.5.51.442 269.21.8/1337 2008-03-20 Collected.11.AD 4.959
BitDefender 7.60825.1022992 7.18181 2008-03-25 Trojan.BHO.WebPrefix.A 7.087
CA (VET) 9.0.0.143 31.3.5641 2008-03-25 - 11.899
ClamAV 0.92 6392 2008-03-25 - 0.008
Comodo 2.11 2.0.0.475 2008-03-25 not-a-virus:AdWare.Win32.BHO.aa 0.851
CP Secure 1.1.0.715 2008.03.26 2008-03-26 Malware.W32.BHO.aa 12.139
Dr.Web 4.44.0.9170 2008.03.25 2008-03-25 Adware.Bho 8.039
Ewido 4.0.0.2 2008.03.25 2008-03-25 Trojan.BHO.b 2.353
F-Prot 4.4.1.52 20080324 2008-03-24 W32/Downloader.MNI (exact) 1.730
F-Secure 5.51.6100 2008.03.25.07 2008-03-25 - 5.781
Fortinet 2.81-3.11 8.884 2008-03-25 - 1.901
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 AdWare.Win32.BHO.aa 2.741
JiangMin 10.00.650 2008.03.25 2008-03-25 TrojanDownloader.Agent.fhy 1.412
Kaspersky 5.5.10 2008.03.25 2008-03-25 not-a-virus:AdWare.Win32.BHO.aa 9.973
KingSoft 2007.6.20.249 2008.3.25 2008-03-25 - 1.005
McAfee 5.2.00 5258 2008-03-24 - 1.954
Microsoft 1.3301 2008.03.25 2008-03-25 BrowserModifier:Win32/KeenValuePerfectNav 7.792
mks_vir 2.01 2008.03.25 2008-03-25 - 3.089
Norman 5.91.10 5.90 2008-03-25 W32/BHO.X 7.730
nProtect 2008-03-25.00 1248842 2008-03-25 Trojan-Clicker/W32.BHO.32608 4.873
Panda 9.04.03.0001 2008.03.24 2008-03-24 Adware/KeenValue 3.082
Prevx V2 20080326 2008-03-26 TROJAN.PWDSTEALER.GEN 2.807
Quick Heal 9.00 2008.03.25 2008-03-25 AdWare.BHO.af (Not a Virus) 1.996
Rising 20.0 20.37.02.00 2008-03-24 Trojan.DL.Agent.kpx 1.595
Sophos 2.71.3 4.27 2008-03-25 - 5.485
Symantec 1.3.0.24 20080324.005 2008-03-24 - 0.228
The Hacker 6.2.92 v00254 2008-03-25 Adware/BHO.aa (Unwanted) 1.022
Trend Micro 8.500-1001 5.186.05 2008-03-25 - 0.079
VBA32 3.12.6.3 20080325.0457 2008-03-25 Trojan-Downloader.Agent.47 (suspicious) 3.011
ViRobot 20080325 2008.03.25 2008-03-25 - 0.417
VirusBuster 4.3.19:9 9.123.20/11.0 2008-03-24 Adware.BHO.JT 1.250
ACHTUNG: Wenn nur wenige Scanner etwas finden ist es möglicherweise ein Fehlalarm. Entscheiden Sie selbst.

Alisa

Vista_User 25.03.2008 20:02
@nochdigger

Was vermutest du?



@Alisa

Sieh es auch etwas positiv, das Notebook wird wieder mal "sauber gemacht":)

Alisamaus 25.03.2008 20:03
Habe mit VirSCAN.org gescannt.

Vista_User 25.03.2008 20:04
Oho, Alisa, das hätte ich ja nicht vermutet!

Ich schaue mal was wir da machen.


Bitte jetzt KEINE Recovery machen!

Vista_User 25.03.2008 20:09
Alisa,

lad dir bitte mal Spybot Search & Destroy runter, update es und mach einen Scan. Lass die gefundenen Dateien entfernen.

Und gib uns dann bescheid.

Sunny 25.03.2008 20:12
Zitat:
Zitat von Vista_User (Beitrag 330684)
Alisa,

lad dir bitte mal Spybot Search & Destroy runter, update es und mach einen Scan. Lass die gefundenen Dateien entfernen.

Und gib uns dann bescheid.

@vista_user
Und woher soll der TO das Spybot S&D herunterladen, hast du dafür auch einen Link?
Es ist schön das du deine Hilfe hier anbietest :daumenhoc , du solltest aber auch dann zusehen das alles "Hand und Fuss" hat. ;)


Ich empfehle hier bewusst mal nicht das Programm Spybot, sondern das hier:



Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

/Edit:


@Moin nochdigger

nochdigger 25.03.2008 20:14
Hallo

@Alisamaus starte Hijackthis mit der Option - Scan - und hake diesen Eintrag an
Zitat:
O2 - BHO: (no name) - {E62CA489-7AFF-44A2-AB0E-84BF790594CC} - C:\WINDOWS\system32\dx7vb32.dll
klicke nun auf - fix checked - und beende Hijackthis.
Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) und lösche, wenn noch vorhanden diese Datei
Zitat:
C:\WINDOWS\system32\dx7vb32.dll
dann leere den Mülleimer.
Starte dein System neu in den normalen Modus und berichte bitte.

MFG

Moin Sunny;)

Alisamaus 25.03.2008 21:04
Hallo, habe besagt Datei gefixt.Bin dann in den abgesicherten Modus und habe nach ihr gesucht. Sie war weg. Services.exe ist noch mit 35%-40 % am Arbeiten. Windows will nun Sicherheits-Updates machen. Es öffnen sich auch plötzlich irgendwelche Popups. Irgendwelche Anti-Virendienste bieten mir ständig ihre Dienste an, oder Erotikdienste. Die habe ich vorher nicht bemerkt. Waren nicht da, diese Popups. Alisa

nochdigger 25.03.2008 21:12
Hallo

fahre bitte mit Sunnys Anleitung fort und poste anschließend das Log.

MFG

Alisamaus 25.03.2008 21:25
---------------------------
Fehler
---------------------------
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe



Fehler beim Ersetzen einer vorhandenen Datei:

DeleteFile schlug fehl; Code 5.

Zugriff verweigert.



Klicken Sie auf "Wiederholen" für einen weiteren Versuch, "Ignorieren", um diese Datei zu überspringen (nicht empfohlen), oder "Abbrechen", um die Installation abzubrechen.
---------------------------
Abbrechen Wiederholen Ignorieren
---------------------------


Das Programm will sich nicht installieren lassen. Was nun?

Alisamaus 26.03.2008 00:54
Hallo, also, ich habe das Programm Malwarebytes' Anti-Malware durchlaufen lassen. Obwohl die gewisse Datei nicht ersetzt werden konnte. Ich weiß nicht, ob der Scan seinen Sinn erfüllt hat. Was gefunden wurde, habe ich entfernt. Hier der Log des Scans:

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 542

Scan Art: Schnell Scan
Objekte gescannt: 41152
Scan Dauer: 11 minute(s), 17 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.

Alisa

Alisamaus 26.03.2008 01:20
Hier sind noch meine aktuellen Logs von HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:20, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Alisa

Running processes:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

nochdigger 26.03.2008 06:42
Moin Alisamaus,

Erstelle bitte ein Log mit silentrunners
-lade dir von hier Silentrunners
-lasse es dein System scannen, anschließend poste das Log

Anschließend lass bitte Combofix nach dieser Anleitung --> combofix
dein System untersuchen/bereinigen anschließend poste bitte ebenfalls das Log.


MFG

Alisamaus 26.03.2008 15:17
Hallo, tut mir schrecklich leid. Ich habe gestern eine Verwarnung bekommen, weil ich aktive Links gepostet habe. Das war nicht mit Absicht. Ich weiß, dass ich dadurch andere User in Gefahr bringe. Ich werde mich bemühen, in Zukunft besser Acht zu geben! Ich habe Silentrunners gedownloadet und einen Scan durchgeführt. Hier nun die Logs: (Ich hoffe, dass mir das von gestern nicht noch einmal passiert!)

"Silent Runners.vbs", revision 56, h**p://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" [file not found]
"(Default)" = (unknown data type)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"PowerManager" = "C:\Programme\Power Manager\PM.exe" [empty string]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Ulead Memory Card Detector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" ["Ulead Systems, Inc."]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe" ["America Online, Inc."]
"IPHSend" = "C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" ["America Online, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]
"{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Ordner HP Share-to-Web"
-> {HKLM...CLSID} = "Ordner HP Share-to-Web"
\InProcServer32\(Default) = "C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]

Gruß und Verzeihung

Alisa

nochdigger 26.03.2008 16:04
Hallo

Zitat:
Ich hoffe, dass mir das von gestern nicht noch einmal passiert!
hört sich doof an, ich weiß, aber versuch einfach dran zu denken und benutze evtl. die "Vorschau" neben dem Antwort Button;).

Dein Silentrunners Log ist leider unvollständig, versuch es bitte noch einmal.
Lass bitte auch Combofix laufen.

MFG

Alisamaus 26.03.2008 16:12
---------------------------
Error
---------------------------
Some installation files are corrupt.
Please download a fresh copy
---------------------------
OK
---------------------------
Diese Nachricht (oben) kommt bei mir, wenn ich ComboFix installieren will. Habe vorher, wie von der Seite empfohlen, CCleaner installiert und die Temporären Dateien gelöscht.

Das mit Silentrunner versuche ich gleich noch einmal.

Gruß Alisa

Alisamaus 26.03.2008 16:20
Hier nun noch die andere Textdatei, die ich vom Scan gefunden habe. (mit Silentrunner)

"Silent Runners.vbs", revision RED (R28) (Echo output), launched at: 15:00
Operating System: Windows XP SP2


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet" [file not found]
"" = (data in unrecognized format!)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"PowerManager" = "C:\Programme\Power Manager\PM.exe" [empty string]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Ulead Memory Card Detector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" ["Ulead Systems, Inc."]
"Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"HostManager" = "C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe" ["America Online, Inc."]
"IPHSend" = "C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" ["America Online, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
">{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default)" = "Microsoft Windows Media Player"
\StubPath = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [MS]
">{26923b43-4d38-484f-9b9e-de460746276c}\(Default)" = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "Adobe PDF Reader"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{7E853D72-626A-48EC-A868-BA8D5E23E045}\(Default) = (no title provided)
-> resolves to: {CLSID}\InprocServer32\(Default) = "(no data)" [file not found]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = "Windows Live Sign-in Helper"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = "Google Toolbar Notifier BHO"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"PostBootReminder" = "{7849596a-48ea-486e-8937-a2a3009f31a9}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"CDBurn" = "{fbeb8a05-beee-4442-804e-409d6c4515e9}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\SHELL32.dll" [MS]
"WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\webcheck.dll" [MS]
"SysTray" = "{35CEC8A3-2BE6-11D2-8773-92E220524153}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\stobject.dll" [MS]
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! "igfxcui\DLLName" = "igfxsrvc.dll" ["Intel Corporation"]
INFECTION WARNING! "WB\DLLName" = "C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll" ["Stardock"]
INFECTION WARNING! "WgaLogon\DLLName" = "WgaLogon.dll" [MS]


Startup items in "S. Preiáer" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart
"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
"hp psc 2000 Series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe" ["Hewlett-Packard Co."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"officejet 6100" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe" ["Hewlett-Packard Co."]
"Ulead Kalendar Checker 4.0 SE" -> shortcut to: "C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe" ["Ulead Systems, Inc."]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]
"FRU Task #Hewlett-Packard#hp psc 2100 series#1129716994" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 2100 series#1129716994"" [empty string]
"WebReg 20080310133601" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe /TaskName 20080310133601 /N "psc 2105" /M C8647A /S MY28JD60RS0F" ["Hewlett-Packard"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Arbeitsstationsdienst, lanmanworkstation, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\wkssvc.dll" [MS]}
Automatische Updates, wuauserv, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\wuauserv.dll" [MS]}
COM+-Ereignissystem, EventSystem, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\es.dll" [MS]}
DCOM-Server-Prozessstart, DcomLaunch, "C:\WINDOWS\system32\svchost -k DcomLaunch" {"C:\WINDOWS\system32\rpcss.dll" [MS]}
Designs, Themes, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\shsvcs.dll" [MS]}
DHCP-Client, Dhcp, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\dhcpcsvc.dll" [MS]}
DNS-Client, Dnscache, "C:\WINDOWS\system32\svchost.exe -k NetworkService" {"C:\WINDOWS\System32\dnsrslvr.dll" [MS]}
Druckwarteschlange, Spooler, "C:\WINDOWS\system32\spoolsv.exe" [MS]
Ereignisprotokoll, Eventlog, "C:\WINDOWS\system32\services.exe" [MS]
Fehlerberichterstattungsdienst, ERSvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\ersvc.dll" [MS]}
Gatewaydienst auf Anwendungsebene, ALG, "C:\WINDOWS\System32\alg.exe" [MS]
Geschtzter Speicher, ProtectedStorage, "C:\WINDOWS\system32\lsass.exe" [MS]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
Hilfe und Support, helpsvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll" [MS]}
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
IPSEC-Dienste, PolicyAgent, "C:\WINDOWS\system32\lsass.exe" [MS]
Kompatibilit„t fr schnelle Benutzerumschaltung, FastUserSwitchingCompatibility, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\shsvcs.dll" [MS]}
Konfigurationsfreie drahtlose Verbindung, WZCSVC, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\wzcsvc.dll" [MS]}
Kryptografiedienste, CryptSvc, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\cryptsvc.dll" [MS]}
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Netzwerkverbindungen, Netman, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\netman.dll" [MS]}
NLA (Network Location Awareness), Nla, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\mswsock.dll" [MS]}
RAS-Verbindungsverwaltung, RasMan, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\rasmans.dll" [MS]}
Remoteprozeduraufruf (RPC), RpcSs, "C:\WINDOWS\system32\svchost -k rpcss" {"C:\WINDOWS\system32\rpcss.dll" [MS]}
Sekund„re Anmeldung, seclogon, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\seclogon.dll" [MS]}
Server, lanmanserver, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\srvsvc.dll" [MS]}
Shellhardwareerkennung, ShellHWDetection, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\shsvcs.dll" [MS]}
Sicherheitscenter, wscsvc, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\wscsvc.dll" [MS]}
Sicherheitskontenverwaltung, SamSs, "C:\WINDOWS\system32\lsass.exe" [MS]
SSDP-Suchdienst, SSDPSRV, "C:\WINDOWS\system32\svchost.exe -k LocalService" {"C:\WINDOWS\System32\ssdpsrv.dll" [MS]}
Systemereignisbenachrichtigung, SENS, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\sens.dll" [MS]}
Systemwiederherstellungsdienst, srservice, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\srsvc.dll" [MS]}
Taskplaner, Schedule, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\schedsvc.dll" [MS]}
TCP/IP-NetBIOS-Hilfsprogramm, LmHosts, "C:\WINDOWS\system32\svchost.exe -k LocalService" {"C:\WINDOWS\System32\lmhsvc.dll" [MS]}
Telefonie, TapiSrv, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\tapisrv.dll" [MS]}
Terminaldienste, TermService, "C:\WINDOWS\System32\svchost -k DComLaunch" {"C:\WINDOWS\System32\termsrv.dll" [MS]}
Webclient, WebClient, "C:\WINDOWS\system32\svchost.exe -k LocalService" {"C:\WINDOWS\System32\webclnt.dll" [MS]}
Windows Audio, AudioSrv, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\audiosrv.dll" [MS]}
Windows-Bilderfassung (WIA), stisvc, "C:\WINDOWS\system32\svchost.exe -k imgsvc" {"C:\WINDOWS\system32\wiaservc.dll" [MS]}
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung, SharedAccess, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\ipnathlp.dll" [MS]}
Windows-Verwaltungsinstrumentation, winmgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\wbem\WMIsvc.dll" [MS]}
Windows-Zeitgeber, W32Time, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\w32time.dll" [MS]}
šberwachung verteilter Verknpfungen (Client), TrkWks, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\trkwks.dll" [MS]}

:confused::confused: Alisa

nochdigger 26.03.2008 20:38
Hallo

lade dir Combofix mal von hier
File-Upload.net - Ihr kostenloser File Hoster!
(diese Datei sollte i.O. sein)

Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) entpacke die C-fix.zip auf deinen Desktop und führe dort Combofix aus (ich hoffe das funktioniert:().
Zurück im normalen Modus poste bitte das Log.

MFG

Alisamaus 26.03.2008 21:02
Hallo, Combofix habe ich noch einmal herunter geladen und habe es zum Laufen gebracht. Ich habe also den Scan durchgeführt. Hier nun das Ergebnis:

ComboFix 08-03-25.4 - S. Preißer 2008-03-26 19:59:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.151 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\S. Preißer\Desktop\ComboFix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg.dat
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg.exe
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg_nav.dat
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\hztfg_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 15:36 . 2008-03-26 15:36 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 03:28 . 2008-03-26 04:55 <DIR> d-------- C:\f5f6f0cdf51b56b013486d63689c
2008-03-25 21:24 . 2008-03-26 04:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 21:24 . 2008-03-25 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\Malwarebytes
2008-03-25 21:24 . 2008-03-25 21:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-24 19:24 . 2005-06-03 19:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-24 19:24 . 2005-06-03 20:15 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-24 19:24 . 2005-06-03 20:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-24 19:24 . 2008-03-26 04:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-24 19:24 . 2005-09-03 15:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-24 19:24 . 2005-06-03 19:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-24 19:24 . 2005-06-03 20:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-24 19:24 . 2005-06-03 19:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-23 19:37 . 2008-03-23 19:38 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-03-23 19:37 . 2008-03-23 19:51 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-03-23 19:37 . 2008-03-23 19:51 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-23 19:37 . 2008-03-23 19:51 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-22 17:17 . 2008-03-22 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\Leadertech
2008-03-10 19:53 . 2008-03-10 19:53 <DIR> d-------- C:\Programme\7-Zip
2008-03-09 16:57 . 2008-03-09 16:57 6,742,528 --a------ C:\wz111gev.msi
2008-03-09 16:13 . 2008-03-13 23:30 78 --ah----- C:\WINDOWS\erty.dat
2008-03-09 16:11 . 2008-03-09 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\S7302~1~PRE\LOKALE~1
2008-03-07 17:03 . 2008-03-07 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iAR GmbH
2008-03-07 16:28 . 2008-03-07 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-07 16:27 . 2008-03-07 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX
2008-03-07 16:27 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-01 18:14 . 2008-03-01 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-02-29 20:00 . 2008-03-26 18:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-29 20:00 . 2008-02-29 20:00 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-28 22:35 . 2008-03-13 23:25 <DIR> d-------- C:\Programme\DivX
2008-02-28 22:35 . 2008-02-21 03:05 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-02-28 22:35 . 2008-02-21 03:05 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-02-28 22:35 . 2008-02-21 03:05 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-02-28 22:27 . 2008-02-28 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Newsoft
2008-02-28 22:27 . 1998-06-17 00:00 385,100 --a------ C:\WINDOWS\system32\MSVCRTD.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 12:50 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\MAGIX
2008-03-26 04:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-25 19:43 59,538 ----a-w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\wklnhst.dat
2008-03-24 16:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-24 04:34 --------- d-----w C:\Programme\Java
2008-03-23 21:38 --------- d-----w C:\Programme\WordToPDF
2008-03-22 16:15 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\acccore
2008-03-13 23:55 --------- d-----w C:\Programme\XMedia Recode
2008-03-13 22:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-13 22:37 --------- d-----w C:\Programme\EuroKass
2008-03-13 22:24 --------- d-----w C:\Programme\Blox
2008-03-13 22:21 --------- d-----w C:\Programme\QVWIN
2008-03-13 22:14 --------- d-----w C:\Programme\MD 42361 Manager
2008-03-10 12:50 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\WordToPDF
2008-03-09 17:45 157,592 ----a-w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-09 15:12 --------- d-----w C:\Programme\Ulead Systems
2008-02-28 21:13 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-22 21:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ebay
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-09 16:38 --------- d-----w C:\Dokumente und Einstellungen\S. Preißer\Anwendungsdaten\ICQ
2008-02-09 16:37 --------- d-----w C:\Programme\ICQ6
2008-02-09 16:35 --------- d-----w C:\Programme\ICQToolbar
2006-07-05 17:12 55,447 ----a-w C:\Dokumente und Einstellungen\S. Preißer\.cxpg61spc.dat
2006-07-05 17:12 55,447 ----a-w C:\Dokumente und Einstellungen\S. Preißer\.cxpg61spc.dat
2006-03-02 12:29 26,118 ----a-w C:\Dokumente und Einstellungen\S. Preißer\TB2Categories000.dat
2006-03-02 12:29 26,118 ----a-w C:\Dokumente und Einstellungen\S. Preißer\TB2Categories000.dat
2005-11-27 11:51 16 ---ha-w C:\Programme\mxfilerelatedcache.mxc2
2005-09-04 16:45 0 ----a-w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-01-20 19:04 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 12:38 88361 C:\WINDOWS\AGRSMMSG.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-08 09:36 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-08 09:32 126976]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-12-05 13:22 159744]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-03-30 14:07 159744]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"Ulead Memory Card Detector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-12 08:01 40960]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 03:19 69632]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 17:22 249896]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe" [2006-05-23 12:45 50760]
"IPHSend"="C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" [2006-02-17 17:59 124520]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-07 15:55 267064]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-12-27 22:29:20 124400]
hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2002-06-11 09:31:50 323646]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
officejet 6100.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe [2002-06-11 09:32:22 147456]
Ulead Kalendar Checker 4.0 SE.lnk - C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2005-10-14 14:20:39 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll 2001-12-20 22:34 24576 C:\Programme\Stardock\Object Desktop\ThemeManager\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-14 17:31]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-14 17:31]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-03-16 21:37]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 18:22]

*Newly Created Service* - WINIO
.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 21:52:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2006-02-02 13:02:47 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1129716994.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-03-10 12:36:02 C:\WINDOWS\Tasks\WebReg 20080310133601.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeA/TaskName 20080310133601 /N
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-03-26 20:04:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-26 20:06:50
ComboFix-quarantined-files.txt 2008-03-26 19:06:35
.
2008-03-26 13:06:48 --- E O F ---

Ich hoffe, dass es ein gutes Ergebnis ist.

Alisa

nochdigger 26.03.2008 22:57
Hallo

Zitat:
Ich hoffe, dass es ein gutes Ergebnis ist.
Jupp is schonmal ganz gut, Navipromo war bei dir aktiv, das ist Adware die mit Rootkittechniken arbeitet.

Diese Dateien möchte ich gern noch ausgewertet haben
Zitat:
C:\WINDOWS\erty.dat
C:\WINDOWS\system32\DLLDEV32i.dll
C:\Dokumente und Einstellungen\S. Preißer\.cxpg61spc.dat
C:\Dokumente und Einstellungen\S. Preißer\TB2Categories000.dat
Was macht dein System läuft es besser?

MFG

Alisamaus 26.03.2008 23:01
Hallo, schön, dass du wieder da bist. Das System läuft schneller und nicht mehr so laut. Die Services.exe blockiert den Prozessor nicht mehr. Hoffentlich bleibt sie auch verschwunden! Ich lasse die Dateien, die du angegeben hast gleich scannen. Gruß Alisa

Alisamaus 26.03.2008 23:13
Hier kommt Nr. 1:
Datei Informationen
Dateiname : erty.dat
Größe : 78 byte
Typ : ASCII text, with CRLF line terminators
MD5 : 758f2d834fd7904f6892c14568ec7dad
SHA1 : 6416b37147ce980268256b924d229242da7d1430
Scan Ergebnis
Scan Ergebnis : Es wurde keine Infektion ermittelt!
Zeit : 2008/03/26 23:05:46 (CET)
Scanner Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.26 2008-03-26 - 3.752
AhnLab V3 2008.03.26.01 2008.03.26 2008-03-26 - 2.117
AntiVir 7.6.0.75 7.0.3.79 2008-03-26 - 4.447
Arcavir 1.0.4 200803260128 2008-03-26 - 3.906
Avast 1.0.8 080326-3 2008-03-26 - 5.267
AVG 7.5.51.442 269.21.8/1344 2008-03-26 - 5.731
BitDefender 7.60825.1023768 7.18199 2008-03-27 - 7.940
CA (VET) 9.0.0.143 31.3.5644 2008-03-26 - 15.856
ClamAV 0.92 6409 2008-03-27 - 0.004
Comodo 2.11 2.0.0.476 2008-03-26 - 1.011
CP Secure 1.1.0.715 2008.03.27 2008-03-27 - 10.342
Dr.Web 4.44.0.9170 2008.03.26 2008-03-26 - 9.187
Ewido 4.0.0.2 2008.03.26 2008-03-26 - 3.144
F-Prot 4.4.1.52 20080326 2008-03-26 - 5.547
F-Secure 5.51.6100 2008.03.26.06 2008-03-26 - 6.299
Fortinet 2.81-3.11 8.889 2008-03-26 - 2.104
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 - 2.796
JiangMin 10.00.650 2008.03.26 2008-03-26 - 1.483
Kaspersky 5.5.10 2008.03.26 2008-03-26 - 11.157
KingSoft 2007.6.20.249 2008.3.26 2008-03-26 - 1.005
McAfee 5.2.00 5258 2008-03-24 - 3.191
Microsoft 1.3301 2008.03.26 2008-03-26 - 6.883
mks_vir 2.01 2008.03.26 2008-03-26 - 5.228
Norman 5.91.10 5.90 2008-03-25 - 8.448
nProtect 2008-03-26.01 1250222 2008-03-26 - 5.121
Panda 9.04.03.0001 2008.03.26 2008-03-26 - 3.077
Prevx V2 20080327 2008-03-27 - 2.666
Quick Heal 9.00 2008.03.25 2008-03-25 - 2.278
Rising 20.0 20.37.22.00 2008-03-26 - 0.607
Sophos 2.71.3 4.27 2008-03-25 - 6.880
Symantec 1.3.0.24 20080326.004 2008-03-26 - 0.407
The Hacker 6.2.92 v00255 2008-03-25 - 1.010
Trend Micro 8.500-1001 5.188.09 2008-03-26 - 0.067
VBA32 3.12.6.3 20080325.2040 2008-03-25 - 1.031
ViRobot 20080326 2008.03.26 2008-03-26 - 0.547
VirusBuster 4.3.19:9 9.123.22/11.0 2008-03-26 - 1.109
Hinweis: Diese Datei wurde bereits gescannt. Daher werden die Scan Ergebnisse nicht in der Datenbank gespeichert.

Alisamaus 26.03.2008 23:22
Hier ist Nr. 2:
Dateiname : DLLDEV32i.dll
Größe : 120200 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : a0193025f23f4509c561d3358f4a149f
SHA1 : 021405d0736d915a78c92ec5ae729df21094d897
Scan Ergebnis
Scan Ergebnis : 3% der Scanner (1/36) haben Malware gefunden!
Zeit : 2008/03/26 23:17:23 (CET)
Scanner Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.26 2008-03-26 - 3.967
AhnLab V3 2008.03.26.01 2008.03.26 2008-03-26 - 1.198
AntiVir 7.6.0.75 7.0.3.79 2008-03-26 - 3.808
Arcavir 1.0.4 200803260128 2008-03-26 - 3.226
Avast 1.0.8 080326-3 2008-03-26 - 6.922
AVG 7.5.51.442 269.21.8/1344 2008-03-26 - 6.232
BitDefender 7.60825.1023768 7.18199 2008-03-27 - 10.055
CA (VET) 9.0.0.143 31.3.5644 2008-03-26 - 12.117
ClamAV 0.92 6409 2008-03-27 - 0.044
Comodo 2.11 2.0.0.476 2008-03-26 - 1.277
CP Secure 1.1.0.715 2008.03.27 2008-03-27 - 15.100
Dr.Web 4.44.0.9170 2008.03.26 2008-03-26 - 8.207
Ewido 4.0.0.2 2008.03.26 2008-03-26 - 2.563
F-Prot 4.4.1.52 20080326 2008-03-26 - 3.361
F-Secure 5.51.6100 2008.03.26.06 2008-03-26 - 0.083
Fortinet 2.81-3.11 8.889 2008-03-26 - 2.365
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 - 2.984
JiangMin 10.00.650 2008.03.26 2008-03-26 - 1.429
Kaspersky 5.5.10 2008.03.26 2008-03-26 - 8.929
KingSoft 2007.6.20.249 2008.3.26 2008-03-26 - 1.395
McAfee 5.2.00 5258 2008-03-24 - 3.935
Microsoft 1.3301 2008.03.26 2008-03-26 - 6.911
mks_vir 2.01 2008.03.26 2008-03-26 - 8.725
Norman 5.91.10 5.90 2008-03-25 - 9.081
nProtect 2008-03-26.01 1250222 2008-03-26 - 4.998
Panda 9.04.03.0001 2008.03.26 2008-03-26 - 4.127
Prevx V2 20080327 2008-03-27 TROJAN.PWDSTEALER.GEN 10.048
Quick Heal 9.00 2008.03.25 2008-03-25 - 3.202
Rising 20.0 20.37.22.00 2008-03-26 - 1.675
Sophos 2.71.3 4.27 2008-03-25 - 6.328
Symantec 1.3.0.24 20080326.004 2008-03-26 - 0.265
The Hacker 6.2.92 v00255 2008-03-25 - 1.209
Trend Micro 8.500-1001 5.188.09 2008-03-26 - 0.048
VBA32 3.12.6.3 20080325.2040 2008-03-25 - 2.590
ViRobot 20080326 2008.03.26 2008-03-26 - 1.048
VirusBuster 4.3.19:9 9.123.22/11.0 2008-03-26 - 1.537
ACHTUNG: Wenn nur wenige Scanner etwas finden ist es möglicherweise ein Fehlalarm. Entscheiden Sie selbst.

Alisamaus 26.03.2008 23:31
Hier ist Nummer 3:

Dateiname : .cxpg61spc.dat
Größe : 55447 byte
Typ : data
MD5 : c0127cb9c1c3ea87071d4ed25b5a322e
SHA1 : 07c2e13843583aecc0be418dea07172862baff6c
Scan Ergebnis
Scan Ergebnis : Es wurde keine Infektion ermittelt!
Zeit : 2008/03/26 23:25:12 (CET)
Scanner Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.26 2008-03-26 - 4.116
AhnLab V3 2008.03.26.01 2008.03.26 2008-03-26 - 1.590
AntiVir 7.6.0.75 7.0.3.79 2008-03-26 - 7.861
Arcavir 1.0.4 200803260128 2008-03-26 - 4.457
Avast 1.0.8 080326-3 2008-03-26 - 8.311
AVG 7.5.51.442 269.21.8/1344 2008-03-26 - 5.264
BitDefender 7.60825.1023768 7.18199 2008-03-27 - 6.536
CA (VET) 9.0.0.143 31.3.5644 2008-03-26 - 10.354
ClamAV 0.92 6409 2008-03-27 - 0.065
Comodo 2.11 2.0.0.476 2008-03-26 - 1.503
CP Secure 1.1.0.715 2008.03.27 2008-03-27 - 19.315
Dr.Web 4.44.0.9170 2008.03.26 2008-03-26 - 16.283
Ewido 4.0.0.2 2008.03.26 2008-03-26 - 2.821
F-Prot 4.4.1.52 20080326 2008-03-26 - 4.668
F-Secure 5.51.6100 2008.03.26.06 2008-03-26 - 7.155
Fortinet 2.81-3.11 8.889 2008-03-26 - 2.498
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 - 4.781
JiangMin 10.00.650 2008.03.26 2008-03-26 - 2.448
Kaspersky 5.5.10 2008.03.26 2008-03-26 - 18.506
KingSoft 2007.6.20.249 2008.3.26 2008-03-26 - 1.467
McAfee 5.2.00 5258 2008-03-24 - 6.953
Microsoft 1.3301 2008.03.26 2008-03-26 - 7.406
mks_vir 2.01 2008.03.26 2008-03-26 - 8.630
Norman 5.91.10 5.90 2008-03-25 - 17.771
nProtect 2008-03-26.01 1250222 2008-03-26 - 9.598
Panda 9.04.03.0001 2008.03.26 2008-03-26 - 8.492
Prevx V2 20080327 2008-03-27 - 3.735
Quick Heal 9.00 2008.03.25 2008-03-25 - 2.422
Rising 20.0 20.37.22.00 2008-03-26 - 1.987
Sophos 2.71.3 4.27 2008-03-25 - 12.090
Symantec 1.3.0.24 20080326.004 2008-03-26 - 1.070
The Hacker 6.2.92 v00255 2008-03-25 - 1.283
Trend Micro 8.500-1001 5.188.09 2008-03-26 - 0.041
VBA32 3.12.6.3 20080325.2040 2008-03-25 - 5.491
ViRobot 20080326 2008.03.26 2008-03-26 - 0.961
VirusBuster 4.3.19:9 9.123.22/11.0 2008-03-26 - 4.723
Hinweis: Diese Datei wurde bereits gescannt. Daher werden die Scan Ergebnisse nicht in der Datenbank gespeichert.

Alisamaus 26.03.2008 23:40
Und hier Nr. 4:

Dateiname : TB2Categories000.dat
Größe : 26118 byte
Typ : data
MD5 : 2ebf90ed29bbce79cd4be0226d2996c8
SHA1 : 98c0b255f9f517cb2d0725002239d2a1547255c6
Scan Ergebnis
Scan Ergebnis : Es wurde keine Infektion ermittelt!
Zeit : 2008/03/26 23:33:43 (CET)
Scanner Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.26 2008-03-26 - 8.291
AhnLab V3 2008.03.26.01 2008.03.26 2008-03-26 - 1.412
AntiVir 7.6.0.75 7.0.3.79 2008-03-26 - 7.254
Arcavir 1.0.4 200803260128 2008-03-26 - 4.960
Avast 1.0.8 080326-3 2008-03-26 - 2.289
AVG 7.5.51.442 269.21.8/1344 2008-03-26 - 7.933
BitDefender 7.60825.1023768 7.18199 2008-03-27 - 13.981
CA (VET) 9.0.0.143 31.3.5644 2008-03-26 - 21.354
ClamAV 0.92 6409 2008-03-27 - 0.013
Comodo 2.11 2.0.0.476 2008-03-26 - 2.480
CP Secure 1.1.0.715 2008.03.27 2008-03-27 - 20.676
Dr.Web 4.44.0.9170 2008.03.26 2008-03-26 - 20.915
Ewido 4.0.0.2 2008.03.26 2008-03-26 - 3.091
F-Prot 4.4.1.52 20080326 2008-03-26 - 5.556
F-Secure 5.51.6100 2008.03.26.06 2008-03-26 - 1.555
Fortinet 2.81-3.11 8.889 2008-03-26 - 2.505
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 - 3.468
JiangMin 10.00.650 2008.03.26 2008-03-26 - 2.431
Kaspersky 5.5.10 2008.03.26 2008-03-26 - 19.307
KingSoft 2007.6.20.249 2008.3.26 2008-03-26 - 1.698
McAfee 5.2.00 5258 2008-03-24 - 8.052
Microsoft 1.3301 2008.03.27 2008-03-27 - 7.309
mks_vir 2.01 2008.03.26 2008-03-26 - 9.561
Norman 5.91.10 5.90 2008-03-25 - 15.158
nProtect 2008-03-26.01 1250222 2008-03-26 - 5.840
Panda 9.04.03.0001 2008.03.26 2008-03-26 - 3.262
Prevx V2 20080327 2008-03-27 - 4.177
Quick Heal 9.00 2008.03.25 2008-03-25 - 3.976
Rising 20.0 20.37.22.00 2008-03-26 - 1.137
Sophos 2.71.3 4.27 2008-03-25 - 10.754
Symantec 1.3.0.24 20080326.004 2008-03-26 - 0.183
The Hacker 6.2.92 v00255 2008-03-25 - 1.424
Trend Micro 8.500-1001 5.188.09 2008-03-26 - 0.038
VBA32 3.12.6.3 20080325.2040 2008-03-25 - 2.306
ViRobot 20080326 2008.03.26 2008-03-26 - 0.949
VirusBuster 4.3.19:9 9.123.22/11.0 2008-03-26 - 1.154
Hinweis: Diese Datei wurde bereits gescannt. Daher werden die Scan Ergebnisse nicht in der Datenbank gespeichert.

Alisamaus 27.03.2008 00:12
Und hier noch ein Sicherheitsscan mit VirusTotal der

Datei DLLDEV32i.dll empfangen 2008.03.26 23:57:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 9.
Geschätzte Startzeit is zwischen 66 und 94 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.26 -
AntiVir 7.6.0.75 2008.03.26 -
Authentium 4.93.8 2008.03.26 -
Avast 4.7.1098.0 2008.03.26 -
AVG 7.5.0.516 2008.03.26 -
BitDefender 7.2 2008.03.26 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.26 -
DrWeb 4.44.0.09170 2008.03.26 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5644 2008.03.26 -
Ewido 4.0 2008.03.26 -
F-Prot 4.4.2.54 2008.03.26 -
F-Secure 6.70.13260.0 2008.03.26 -
FileAdvisor 1 2008.03.27 -
Fortinet 3.14.0.0 2008.03.26 -
Ikarus T3.1.1.20 2008.03.26 -
Kaspersky 7.0.0.125 2008.03.26 -
McAfee 5260 2008.03.26 -
Microsoft 1.3301 2008.03.26 -
NOD32v2 2976 2008.03.26 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.26 -
Prevx1 V2 2008.03.27 -
Rising 20.37.22.00 2008.03.26 -
Sophos 4.27.0 2008.03.26 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.26 -
TheHacker 6.2.92.255 2008.03.26 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.26 -
Webwasher-Gateway 6.6.2 2008.03.26 -
weitere Informationen
File size: 120200 bytes
MD5: a0193025f23f4509c561d3358f4a149f
SHA1: 021405d0736d915a78c92ec5ae729df21094d897
PEiD: Armadillo v1.xx - v2.xx

Gruß Alisa :balla:

nochdigger 27.03.2008 06:22
Moin

komisch:confused: mal wird die
Zitat:
DLLDEV32i.dll
als Schädling erkannt mal nicht:balla:

Suche die Datei bitte und klicke sie mit der rechten Maustaste an dann klicke auf "Eigenschaften" wähle den Reiter Version, kopiere/schreibe bitte Informationen ab von
Zitat:
Dateiversion
Beschreibung
Firma
Interner Name
Orginaldateiname
Produktname
Lade die Datei zusätzlich bitte hier hoch
Submit your sample
du wirst dort in wenigen Tagen informationen zur Datei per Mail erhalten.
Wenn du die Möglichkeit hast, ändere sicherheitshalber alle deine Pass- und Kennwörter von einem sauberen System aus, wenn nicht sollten wir warten bis das Ergebnis von Antivir da ist.

MFG

Alisamaus 27.03.2008 11:26
Hallo, ich habe die Datei, wie empfohlen, bei Avira hochgeladen. Sie wird nun überprüft und ich werde benachrichtigt. Zu den Eigenschaften wird wenig gesagt. Hier die Übersicht:
Dateiversion: 3.7.0.12
Beschreibung: keine Angaben
besondere Beschreibung: keine Angaben
Firma: keine Angaben
interner Name: keine Angaben
Kommentare: keine Angaben
Marken: keine Angaben
Originaldateiname: DLLDEV32i.dll
Produktname: DLLDEV32i
Produktversion: 3,7,0,0
Sprache: Deutsch (Deutschland)

Erstellt: Freitag, 7. März 2008
Geändert am: Freitag, 27. April 2007
Letzter Zugriff: Heute, 27. März 2008

Die Worte "keine Angabe" sind von mir. Das Feld ist eigentlich leer.

Gruß Alisa

nochdigger 27.03.2008 17:05
Hallo

OK, danke dann warten wir mal das Ergebnis von Avira ab.

MFG

Alisamaus 27.03.2008 18:19
Hallo, nun ist das Ergebnis da:

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00133576.



Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
3801683 DLLDEV32i.dll 117.38 KB CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
DLLDEV32i.dll CLEAN

Die Datei 'DLLDEV32i.dll' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.

Das klingt ja nicht schlecht. Aber irgendwie werde ich trotzdem ein komisches Gefühl nicht los. Aber Gefühle können einen ja auch täuschen.

Gruß Alisa

nochdigger 27.03.2008 19:58
Hallo

die Nachricht ist doch gut;)

Ich würde noch einen scan mit Antivir (frisch upgedatet) im abgesicherten Modus machen und anschließend einen Onlinescan z.B. hier
Free Virus Scan - Kaspersky Lab
wenn beide nix mehr zu bemängeln haben, hab ich das auch nicht.

MFG

Alisamaus 27.03.2008 20:02
:Boogie: Hallo, na das mache ich doch gleich. Soll ich denn am Schluss noch mal das HiJackThis Log posten? Oder ist das dann nicht mehr nötig? Ich kann es gar nicht glauben, dass ich das Glück gehabt haben soll, nicht Formatieren zu müssen. Alisa

Alisamaus 27.03.2008 20:36
hm, nun sieht es nicht mehr so gut aus, denn wenn ich mit Avira im abgesicherten Modus scannen will, dann stürzt der PC einfach immer ab. Oder anders gesagt, schaltet sich ohne Vorwahrnung aus. Einfach dunkel und alles aus. Ich führe jetzt erst einmal den Kaspersky Scan durch.
Gruß Alisa

Alisamaus 27.03.2008 22:48
Hallo, Kaspersky ist fündig geworden. Hier nun das Ergebnis:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Thursday, March 27, 2008 10:45:09 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 27/03/2008
Kaspersky Anti-Virus database records: 667341
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 80970
Number of viruses found: 3
Number of infected objects: 17
Number of suspicious objects: 0
Duration of the scan process: 01:29:54

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Desktop\Down\backups\backup-20080326-051347-969.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\Initiativ.exe Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\vorlagen-archiv.exe Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\vorlagen-archiv.zip/vorlagen-archiv.exe Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\vorlagen-archiv.zip ZIP: infected - 1 skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\pdf Dateien\vorlagen-archiv.exe Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe/cccc20030730.exe/NHInstall.exe Infected: not-a-virus:AdWare.Win32.NavExcel.d skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe/cccc20030730.exe/v2.0.4.cab/NHUninstaller.exe Infected: not-a-virus:AdWare.Win32.NavExcel skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe/cccc20030730.exe/v2.0.4.cab/NHelper.dll Infected: not-a-virus:AdWare.Win32.NavExcel skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe/cccc20030730.exe/v2.0.4.cab/NHUpdater.exe Infected: not-a-virus:AdWare.Win32.NavExcel skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe/cccc20030730.exe/v2.0.4.cab Infected: not-a-virus:AdWare.Win32.NavExcel skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe/cccc20030730.exe Infected: not-a-virus:AdWare.Win32.NavExcel skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe Vise: infected - 6 skipped
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Unzipped\vorlagen-archiv\vorlagen-archiv.exe Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\AOL\UserProfiles\All Users\cls\common.cls Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008032720080328\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\ntuser.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{035BB656-B246-4089-87D6-82E37E05CC71}\RP10\A0001227.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\System Volume Information\_restore{035BB656-B246-4089-87D6-82E37E05CC71}\RP10\A0001246.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\System Volume Information\_restore{035BB656-B246-4089-87D6-82E37E05CC71}\RP13\change.log Object is locked skipped
C:\System Volume Information\_restore{035BB656-B246-4089-87D6-82E37E05CC71}\RP5\A0000075.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{692777F7-F246-42CF-8D77-8A58B1628CCA}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

Gruß Alisa

nochdigger 28.03.2008 07:43
Hallo

na, da scheinen wir doch gut daran getan zu haben, dass der Rechner nochmal gescannt wurde:eek:

Lösche bitte diese Dateien:
Zitat:
C:\Dokumente und Einstellungen\S. Preißer\Desktop\Down\backups\backup-20080326-051347-969.dll
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\Initiativ.exe
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\vorlagen-archiv.exe
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Hausmeister\vorlagen-archiv.zip
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\pdf Dateien\vorlagen-archiv.exe
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\sonstiges\elfbowling3.exe
C:\Dokumente und Einstellungen\S. Preißer\Eigene Dateien\Unzipped\vorlagen-archiv\vorlagen-archiv.exe
ich denke da ist dein Freund hergekommen.

Zitat:
Einfach dunkel und alles aus
Es kann eine Weile dauern bis der Rechner weiterarbeitet, warte einfach mal 4-5 Minuten ab.

Überreste aus der Systemwiederherstellung entfernen
Zitat:
deaktiviere die bitte Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Dann bitte nochmal mit dem Kasper scannen.

MFG

Alisamaus 28.03.2008 14:16
Hallo, ich habe deine Anweisungen wie beschrieben befolgt. Kaspersky war diesmal zufrieden mit mir. Hier der Scan-Bericht:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, March 28, 2008 2:06:13 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 28/03/2008
Kaspersky Anti-Virus database records: 668377
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\

Scan Statistics:
Total number of scanned objects: 81076
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 01:28:16

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\AOL\UserProfiles\All Users\cls\common.cls Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008032820080329\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\ntuser.dat Object is locked skipped
C:\Dokumente und Einstellungen\S. Preißer\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{035BB656-B246-4089-87D6-82E37E05CC71}\RP1\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

Was kann ich jetzt noch tun?

Gruß Alisa

Alisamaus 28.03.2008 14:19
Ach ja, das Scannen im abgesicherten Modus hat trotzdem nicht funktioniert. Nachdem sich der Laptop ausgeschaltet hatte, habe ich gewartet. Über 5 min. Aber es hat sich nichts getan. Hat sich ausgestellt. Einfach so und von allein. Gruß Alisa

Alisamaus 28.03.2008 14:39
Ich weiß auch nicht, aber der eine Virenscanner bei VirScan.org findet immer noch etwas. Kann man dem glauben, oder gehört das gewisse Anti-Virenprogramm zu denen, die sich durch angebliche Funde nur verkaufen wollen? Was soll man davon halten?
Hier der Scan:

Dateiname : services.exe
Größe : 108544 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : edb6b81761bd60f32f740bbc40afb676
SHA1 : 91289092113e122893e9914bb0c8f112b4db99a6
Scan Ergebnis
Scan Ergebnis : 3% der Scanner (1/36) haben Malware gefunden!
Zeit : 2008/03/28 14:25:31 (CET)
Scanner Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.27 2008-03-27 - 4.494
AhnLab V3 2008.03.28.01 2008.03.28 2008-03-28 - 2.575
AntiVir 7.6.0.78 7.0.3.91 2008-03-28 - 12.073
Arcavir 1.0.4 200803271305 2008-03-27 - 8.374
Avast 1.0.8 080328-0 2008-03-28 - 16.987
AVG 7.5.51.442 269.21.8/1345 2008-03-26 - 16.875
BitDefender 7.60825.1044456 7.18227 2008-03-28 - 24.684
CA (VET) 9.0.0.143 31.3.5651 2008-03-28 - 8.184
ClamAV 0.92 6439 2008-03-28 - 0.040
Comodo 2.11 2.0.0.478 2008-03-28 - 2.741
CP Secure 1.1.0.715 2008.03.28 2008-03-28 - 33.448
Dr.Web 4.44.0.9170 2008.03.28 2008-03-28 - 24.554
Ewido 4.0.0.2 2008.03.28 2008-03-28 - 3.856
F-Prot 4.4.1.52 20080327 2008-03-27 - 8.729
F-Secure 5.51.6100 2008.03.28.05 2008-03-28 - 20.204
Fortinet 2.81-3.11 8.896 2008-03-28 - 13.080
Ikarus T3.1.01.20 2008.03.24.70498 2008-03-24 - 11.956
JiangMin 10.00.650 2008.03.27 2008-03-27 - 2.925
Kaspersky 5.5.10 2008.03.28 2008-03-28 - 34.247
KingSoft 2007.6.20.249 2008.3.28 2008-03-28 - 2.093
McAfee 5.2.00 5258 2008-03-24 - 10.363
Microsoft 1.3301 2008.03.28 2008-03-28 - 9.519
mks_vir 2.01 2008.03.28 2008-03-28 - 15.150
Norman 5.91.10 5.90 2008-03-25 - 27.330
nProtect 2008-03-28.00 1269393 2008-03-28 - 5.592
Panda 9.04.03.0001 2008.03.27 2008-03-27 - 3.590
Prevx V2 20080328 2008-03-28 TROJAN.DOWNLOADER.GEN 5.095
Quick Heal 9.00 2008.03.27 2008-03-27 - 5.182
Rising 20.0 20.37.41.00 2008-03-28 - 2.312
Sophos 2.71.3 4.27 2008-03-25 - 11.303
Symantec 1.3.0.24 20080327.002 2008-03-27 - 0.266
The Hacker 6.2.92 v00257 2008-03-27 - 2.369
Trend Micro 8.500-1001 5.192.02 2008-03-27 - 0.043
VBA32 3.12.6.3 20080326.1650 2008-03-26 - 6.729
ViRobot 20080328 2008.03.28 2008-03-28 - 1.238
VirusBuster 4.3.19:9 9.123.23/11.0 2008-03-27 - 6.681
ACHTUNG: Wenn nur wenige Scanner etwas finden ist es möglicherweise ein Fehlalarm. Entscheiden Sie selbst

Ich hatte aber die services.exe noch von Avira prüfen lassen. Da sah das Ergebnis so aus:

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00133678.



Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
20745 services.exe 106 KB KNOWN CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
services.exe KNOWN CLEAN

Die Datei 'services.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Windows XP (SP2)' ist.


Gruß Alisa

nochdigger 28.03.2008 14:59
Hallo

Zitat:
Ach ja, das Scannen im abgesicherten Modus hat trotzdem nicht funktioniert
na gut, wir wollen das auch nicht mit Gewalt versuchen, damit zerschießen wir nur das System.
Dann würde ich sagen, scanne mit Antivir im normalen Modus und gut isses.

Das Log vom Kasper scheint mir sauber:daumenhoc

Starte bitte Hijackthis mit der Option - Scan - und hake diese Einträge an
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.info-mails.de/startseite.php3 <-- nur wenn dies nicht deine bevorzugte Startseite sein sollte
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
klicke auf - fix checked und beende Hijackthis.

Der Adobe Reader könnte mal ein Update ab
Adobe - Adobe Reader herunterladen - Alle Versionen
vorher die alte Version über
Zitat:
Start -> Einstellungen -> Systemsteuerung -> Software
deinstallieren.

Lade dir bitte mal den Ccleaner
KLICK

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System

http://soft.oszone.net/img_soft/ccleaner.jpg

- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben --> so oft laufen lassen bis keine Probleme mehr zu bereinigen sind.


Das sollte es dann eigentlich gewesen sein.

MFG

Alisamaus 28.03.2008 15:03
Hallo, ich mache mich gleich mal ans Werk! Soll ich denn dann zum Abschluss noch einmal das Hijackthis Log posten? Oder ist das dann gar nicht mehr notwendig?
Gruß Alisa

nochdigger 28.03.2008 16:43
Hallo

Zitat:
Soll ich denn dann zum Abschluss noch einmal das Hijackthis Log posten?
wenn die genannten Einträge dauerhaft verschwunden bleiben, ist es nicht notwendig.

Den Ccleaner kann man gut öfter im Monat mal laufen lassen um Temporären Schrott und Cockies loszuwerden, aber dabei muss nicht jedesmal die Registry mit bereinigt werden.

MFG

Alisamaus 28.03.2008 18:52
Hallo, ich konnte mich einfach nicht beherrschen und habe noch einmal ein Log gemacht. Vielleicht könntest du ja noch einmal ein Auge auf die Anzeige mit dem Internet werfen, denn ich soll es jetzt öfter neu konfigurieren. Ist das Zufall?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:23, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\S. Preißer\Desktop\Down\HiJackThis202.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1171571753\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.tele2.de/redirect/startpage/dial_up/deu
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - h**p://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8340 bytes

Gruß Alisa

Sunny 28.03.2008 19:32
Das Logfile von Hijackthis sieht meiner Ansicht nach sauber aus.
Alle Einträge welche nochdigger dir genannt hat sind entfernt. ;)

Gruß :daumenhoc
Sunny

Alisamaus 28.03.2008 19:51
Hallo ihr Lieben, ich möchte mich ganz herzlich Bedanken, für die umfangreiche Hilfe, die ich hier erfahren habe! Mein besonderer Dank gilt nochdigger für die Geduld mit mir Anfänger. Auch Sunny und die anderen, die mich mit ihrem Rat unterstützt haben, möchte ich danken. Dank euch musste ich nicht neu formatieren und konnte meine Daten retten! Ohne euch wäre ich verzweifelt! In diesem Sinne möchte ich euch noch viel Erfolg mit dem Board wünschen und ich hoffe......dass ich lange Zeit keinen Grund haben werde, diese Seite zu besuchen! Eure Hilfe ist unbezahlbar!:aplaus:
Gruß Alisa


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131