Trojaner-Board - Google, Amazon & Co gehen nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Google, Amazon & Co gehen nicht (https://www.trojaner-board.de/54382-google-amazon-co-gehen.html)

Google, Amazon & Co gehen nicht

Ich habe als ich mein PC gestartet habe von AV gesagt bekommen das eine
yaywusss.dll, efcYQKaA.dll und byXQHaBQ.dll gefunden wurde. Löschen ging aber nicht. Also bin ich in den AbgesichertenModus hab alle Rechte von den DLL´s entfernt.
Jedoch kann ich immer noch nicht Amazon, Google und Yahoo öffnen (b.z.w Suchen) (web.de oder trojaner-board geht)

Mein LogFile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:20:24, on 20.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\RunDll32.exe

D:\Programme\iTunes\iTunesHelper.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\Programme\AntiVir PersonalEdition Classic\avscan.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: {6c532a74-5ac3-290a-7ed4-5e66b72806e1} - {1e60827b-66e5-4de7-a092-3ca547a235c6} - C:\WINDOWS\system32\bmimorui.dll

O2 - BHO: (no name) - {58F9A998-B5AE-4CB6-BAC8-0E7332D1293B} - C:\WINDOWS\system32\byXQHaBQ.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {8C9CF10C-05C2-463C-8B9B-BA4A67E6AA5B} - C:\WINDOWS\system32\dpnaddrd.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {BE7E4CE1-8CBA-44A6-956F-462A667D3286} - C:\WINDOWS\system32\efcYQKaA.dll (file missing)

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [741c84ca] rundll32.exe "C:\WINDOWS\system32\bxxfvtyr.dll",b

O4 - HKLM\..\Run: [BM772fb756] Rundll32.exe "C:\WINDOWS\system32\msnifwsx.dll",s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')

O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177431330062

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: efcYQKaA - efcYQKaA.dll (file missing)

O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
 

--

End of file - 8026 bytes

[VIREN] :snyper:

Bitte lasse Malwarebytes wie beschrieben laufen und poste das Logfile hier.

Erstmal 24 infizierte Dateien :eek:
Alle gelöscht und hier mein Log-File:

Code:

Malwarebytes' Anti-Malware 1.18

Datenbank Version: 873
 

10:20:09 21.06.2008

mbam-log-6-21-2008 (10-20-03).txt
 

Scan Art: Komplett Scan (C:\|D:\|)

Objekte gescannt: 225052

Scan Dauer: 1 hour(s), 14 minute(s), 29 second(s)
 

Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 2

Infizierte Registrierungsschlüssel: 7

Infizierte Registrierungswerte: 2

Infizierte Datei Objekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 13
 

Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)
 

Infizierte Speicher Module:

C:\WINDOWS\system32\bxxfvtyr.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\winjks32.dll (Dialer) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winjks32 (Dialer) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\741c84ca (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM772fb756 (Trojan.Agent) -> No action taken.
 

Infizierte Datei Objekte der Registrierung:

(Keine Malware Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine Malware Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\bxxfvtyr.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\rytvfxxb.ini (Trojan.Vundo) -> No action taken.

C:\Dokumente und Einstellungen\***\Eigene Dateien\KrimsKramsOrdner\Downloads\Public-1d.exe (Backdoor.Bot) -> No action taken.

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0O3SYQBY\css4[1] (Trojan.Vundo) -> No action taken.

C:\System Volume Information\_restore{6A67AF22-B637-4B39-A882-AA42D4F59183}\RP454\A0197311.exe (Backdoor.Bot) -> No action taken.

C:\System Volume Information\_restore{6A67AF22-B637-4B39-A882-AA42D4F59183}\RP455\A0197652.exe (Backdoor.Bot) -> No action taken.

C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\msnifwsx.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\winjks32.dll (Dialer) -> No action taken.

C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\winpsa32.dll (Dialer) -> No action taken.

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gosA.tmp (Dialer) -> No action taken.

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gos10.tmp (Trojan.Vundo) -> No action taken.

Lasse Malwarebytes die Objekte löschen, oder hast Du auch die Reg Schlüssel gelöscht? Wenn nicht noch mal laufen lassen, den Bericht posten.

Dann erstelle bitte ein neues HJT Logfile.

Also Malwarebytes nochmal drüberlaufen gelassen. Kein Fund.
Log:

Code:

Malwarebytes' Anti-Malware 1.18

Datenbank Version: 873
 

12:37:20 21.06.2008

mbam-log-6-21-2008 (12-37-19).txt
 

Scan Art: Komplett Scan (C:\|D:\|)

Objekte gescannt: 1698

Scan Dauer: 14 second(s)
 

Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Datei Objekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)
 

Infizierte Speicher Module:

(Keine Malware Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine Malware Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine Malware Objekte gefunden)
 

Infizierte Datei Objekte der Registrierung:

(Keine Malware Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine Malware Objekte gefunden)
 

Infizierte Dateien:

(Keine Malware Objekte gefunden)

Hijackthis Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:50:51, on 21.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\RunDll32.exe

D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

D:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\MSN Messenger\msnmsgr.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\PSIService.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

D:\Programme\Mozilla Firefox\firefox.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: {6c532a74-5ac3-290a-7ed4-5e66b72806e1} - {1e60827b-66e5-4de7-a092-3ca547a235c6} - C:\WINDOWS\system32\bmimorui.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {8C9CF10C-05C2-463C-8B9B-BA4A67E6AA5B} - C:\WINDOWS\system32\dpnaddrd.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user')

O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = D:\Programme\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177431330062

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
 

--

End of file - 7334 bytes

Scheint als ob alle Viren, etc. beseitigt wären muss ich mir noch sorgen machen ob ich welche in meinen Fotos, Musik und so habe?

Gehe wiefolgt vor

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [...]osoft.com/fwlink/?LinkId=54896]Live Search
O2 - BHO: {6c532a74-5ac3-290a-7ed4-5e66b72806e1} - {1e60827b-66e5-4de7-a092-3ca547a235c6} - C:\WINDOWS\system32\bmimorui.dll
O2 - BHO: (no name) - {8C9CF10C-05C2-463C-8B9B-BA4A67E6AA5B} - C:\WINDOWS\system32\dpnaddrd.dll

(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte verschiebe diese Dateien (wenn vorhanden) auf Deinen Desktop:

C:\WINDOWS\system32\dpnaddrd.dll
C:\WINDOWS\system32\bmimorui.dll

Dann starte den Rechner im normalen Modus neu.

COLOR="Blue"]Datei Upload für die weiter Prüfung[/COLOR]

Lade die Datei

Zitat:

dpnaddrd.dll
bmimorui.dll

Beide Dateien haben wir eben auf Deinen Dektop geschoben.

bitte hier hoch.

Füge Deinen Thread Link ein, dass ist

Zitat:

http://www.trojaner-board.de/54382-g...tml#post348014

und trage Deinen Benutzernamen ein.

Ich werd das jetzt mal machen aber wenn ich fragen darf was hat das für ein Sinn (ich kenn mich da nicht so aus)

EDIT Habe alles gemacht wie beschrieben aber die bmimorui.dll ist nicht zufinden

Wir schicken die Datei an andere Virenhersteller weiter, dass ist der Sinn.

Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.
Nach dem scannen, setzte die Einstellungen (Heuistik) wieder zurück sie sind nicht ganz alltagstauglich.

Ich hab ein Trojanisches Pferd in meiner Mailbox bei Thunderbird. Wie kann ich es löschen?! :(
TR/Drop.Ag.275817.B

Am besten indem Du die Mail innerhalb von Thunderbird löschst!

Muss den Scan aus Zeitgründen leider abbrechen. Wiederhole ihn heute Abend.
Ich kann diese Mail nicht finden!

Code:

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\6vmvviw7.default\Mail\Local Folders\Inbox

  [0] Archivtyp: Netscape/Mozilla Mailbox

    --> Mailbox_[Subject: Von Maria][From: kluddert@tlen.pl][Message-ID: <20070223093029.8ADEF62806F@poczta.o2.pl>]34.mim

      [1] Archivtyp: MIME

      --> Foto-Maria__JPG.com

          [FUND]      Ist das Trojanische Pferd TR/Drop.Ag.275817.A

      --> Foto-Maria__JPG.com

        [2] Archivtyp: RAR SFX (self extracting)

        --> bild.exe

            [FUND]      Ist das Trojanische Pferd TR/Drop.MultiJoiner.13.K.4

        --> fotos.bat

            [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.I.2

        --> picture-02.exe

            [FUND]      Ist das Trojanische Pferd TR/Drop.Ag.275817.B

      [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

Zitat:

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\6vmvviw7.default\Mail\Local Folders\Inbox

Schau mal, ob Du mit diesem Konto in Thunderbird angemeldet bist und suche nach einer eMail von kluddert[at]tlen.pl

Hatte diese E-Mail schon gelöscht (Anhänge nie geöffnet) Aber Thunderbird behält diese.
Lösung:
Ordner komprimieren - Thunderbird Mail DE

:daumenhoc Einenrechere ist gern gesehen.

Es wurde den Trojaner TR/Trash.Gen im Ordner
C:\System Volume Information\_restore{6A67AF22-B637-4B39-A882-AA42D4F59183}\RP464\A0201185.dll
gefunden. Weil ich ja aggresive Einstellungen habe habe ich es erstamal in Quarantäne geschoben. Muss ich es löschen oder war Antivir voreilig?

Ist es gut wenn ich die Systemwiederherstellung erstmal deaktiviert habe?

Wie gesagt das kann vorkommen und ist leicht behebbar.

Schädlinge in der Systemwiederherstellung[LIST][*]Deaktivere die Systemwiederherstellung, wie hier beschrieben.[*]Starte dannach den Rechner neu.[*]Nach dem Neustart kann die Systemwiederherstellung wieder aktiviert werden.

Aber Du sagtest Du hast sie eh schon deaktivert. Also ja es war gut und Du kannt die Quarantäne löschen.

Also mein AV LogFile

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Montag, 23. Juni 2008  11:34
 

Es wird nach 1352009 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     MARC-PRIVAT
 

Versionsinformationen:

BUILD.DAT     : 8.1.0.308       16478 Bytes  28.05.2008 17:02:00

AVSCAN.EXE    : 8.1.2.12       311553 Bytes  21.04.2008 11:56:18

AVSCAN.DLL    : 8.1.1.0         57601 Bytes  21.04.2008 11:56:18

LUKE.DLL      : 8.1.2.9        151809 Bytes  21.04.2008 11:56:18

LUKERES.DLL   : 8.1.2.0         12545 Bytes  21.04.2008 11:56:18

ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18.07.2007 18:42:08

ANTIVIR1.VDF  : 7.0.3.2       5447168 Bytes  07.03.2008 16:45:04

ANTIVIR2.VDF  : 7.0.4.195     2546176 Bytes  14.06.2008 11:52:02

ANTIVIR3.VDF  : 7.0.4.234      278016 Bytes  22.06.2008 18:19:03

Engineversion : 8.1.0.59  

AEVDF.DLL     : 8.1.0.5        102772 Bytes  21.04.2008 11:56:18

AESCRIPT.DLL  : 8.1.0.44       278907 Bytes  20.06.2008 14:25:18

AESCN.DLL     : 8.1.0.22       119157 Bytes  20.06.2008 14:25:16

AERDL.DLL     : 8.1.0.20       418165 Bytes  27.04.2008 10:21:41

AEPACK.DLL    : 8.1.1.6        364918 Bytes  20.06.2008 14:25:15

AEOFFICE.DLL  : 8.1.0.20       192891 Bytes  20.06.2008 14:25:13

AEHEUR.DLL    : 8.1.0.32      1274231 Bytes  20.06.2008 14:25:12

AEHELP.DLL    : 8.1.0.15       115063 Bytes  29.05.2008 13:36:56

AEGEN.DLL     : 8.1.0.29       307573 Bytes  20.06.2008 14:25:07

AEEMU.DLL     : 8.1.0.6        430451 Bytes  08.05.2008 16:19:08

AECORE.DLL    : 8.1.0.31       168310 Bytes  06.06.2008 18:02:10

AVWINLL.DLL   : 1.0.0.7         14593 Bytes  21.04.2008 11:56:18

AVPREF.DLL    : 8.0.0.1         25857 Bytes  21.04.2008 11:56:18

AVREP.DLL     : 7.0.0.1        155688 Bytes  16.04.2007 12:16:24

AVREG.DLL     : 8.0.0.0         30977 Bytes  21.04.2008 11:56:18

AVARKT.DLL    : 1.0.0.23       307457 Bytes  21.04.2008 11:56:18

AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  21.04.2008 11:56:18

SQLITE3.DLL   : 3.3.17.1       339968 Bytes  21.04.2008 11:56:18

SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  21.04.2008 11:56:18

NETNT.DLL     : 8.0.0.1          7937 Bytes  21.04.2008 11:56:18

RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  21.04.2008 11:56:14

RCTEXT.DLL    : 8.0.32.0        86273 Bytes  21.04.2008 11:56:14
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, 

Durchsuche Speicher..............: ein

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Montag, 23. Juni 2008  11:34
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '90449' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'syswatcher.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '33' Prozesse mit '33' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

      [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '34' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <System>

C:\pagefile.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\***\Eigene Dateien\KrimsKramsOrdner\MSN Messenger Account Cracker v2.0\msnc2.exe

      [FUND]      Enthält Erkennungsmuster des SPR/MSNaccCrack.20-Programmes

      [HINWEIS]   Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\***\Eigene Dateien\RapidShare\AntiCaptcha.exe

      [FUND]      Enthält Erkennungsmuster der Anwendung APPL/AntiCaptcha.1

      [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d37646.qua' verschoben!

C:\PCWELT\0704\aircrack-ng-0.6.2-win\aircrack-ng-0.6.2-win\bin\aircrack-ng.exe

      [FUND]      Enthält Erkennungsmuster des SPR/Aircra.A.944139-Programmes

      [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d176b3.qua' verschoben!

Beginne mit der Suche in 'D:\' <Daten>
 
 

Ende des Suchlaufs: Montag, 23. Juni 2008  13:37

Benötigte Zeit:  2:02:58 min
 

Der Suchlauf wurde vollständig durchgeführt.
 

  16516 Verzeichnisse wurden überprüft

 833277 Dateien wurden geprüft

      3 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      1 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      2 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 833274 Dateien ohne Befall

   6735 Archive wurden durchsucht

      1 Warnungen

      3 Hinweise

  90449 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Zitat:

MSN Messenger Account Cracker v2.0
AntiCaptcha.exe

Hier ist mein Support beendet.

Das sind die bescheuerten Datein von meinem Bruder :mad: Der denkt der könnte
"hacken" obwohl er grade nurmal solche Programme benutzen kann. Echt arm... Sorry