Trojaner-Board - Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge (https://www.trojaner-board.de/54822-viren-werbung-ie-bitte-um-hilfe-hijackthis-loge.html)

Viren Werbung im IE--> Bitte um Hilfe des HiJackThis Loge

Hallo,
ich hoffe ihr könnt mir helfen ;)
Denn seit einiger Zeit komme ich nicht mehr auf alle Internet Seiten und es öffnet sich Werbung, Teils normale, teils welche wo ich aufgefordert werde einen Virenscanner zu Installieren. Diese Fenster kommen auch, wenn ich den Internet Explorer schon einige Minuten geschlossen habe.
Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch:(

Hier nun also mein HiJackThis Log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:40:43, on 27.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\avmwlanstick\WlanNetService.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Programme\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\Programme\Softwin\BitDefender10\vsserv.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.web.de/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/de/?status=login

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht**tp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [146b1df4] rundll32.exe "C:\WINDOWS\system32\fchdwgyw.dll",b

O4 - HKLM\..\Run: [BM17582e68] Rundll32.exe "C:\WINDOWS\system32\acmjexrx.dll",s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**tp://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196957286750

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht**tp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197100059562

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1

O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab

O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - h**p://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**tp://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - h**p://3dlifeplayer.dl.3dvia.com/player/install/installer.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - ht**p://www.shockwave.com/content/peggle/sis/popcaploader_v10_en.cab

O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://www.flatcast.info/objects/NpFv415.dll

O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://www.flatcast.info/objects/NpFv41629.dll

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://www.gutchat.de/control/msnchat45.cab

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
 

--

End of file - 7962 bytes

Danke schon einmal im Vorraus
Maichen

Zitat:

Zitat von Maichen (Beitrag 349682)

Ich sollte anmerken, dass ich mit einem Bekannten schon sämtliche Viren von meinem PC gelöscht habe, denn Viren versäucht war ich auch.

Nicht so voreilig, bitte.

Diese beiden Dateien bitte bei virustotal.com hochladen und prüfen lassen. Anschliessend den vollständigen Scanreport inklsuive sämtlicher Angaben wie Größe, Hash etc hier posten:

Code:

C:\WINDOWS\system32\fchdwgyw.dll

C:\WINDOWS\system32\acmjexrx.dll

Unter Umständen müssen vorher versteckte Dateien sichtbar gemacht werden: Anleitung

%ComSpec%

Naja aber ich war schon geschockt, als ich Bitdefender durch laufen ließ, was da so alles kam. Wobei ich Antivir regelmäßig hatte durchlaufen lassen und der mir nie was angezeit hat.
Unsichtbare Datein müssten aufgedeckt sein
Hoffe ich mach das jetzt richtig:confused:

C:\WINDOWS\system32\fchdwgyw.dll

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.6.26.0 2008.06.26 - 

AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen 

Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado 

Avast 4.8.1195.0 2008.06.26 - 

AVG 7.5.0.516 2008.06.26 - 

BitDefender 7.2 2008.06.27 - 

CAT-QuickHeal 9.50 2008.06.26 - 

ClamAV 0.93.1 2008.06.27 - 

DrWeb 4.44.0.09170 2008.06.27 - 

eSafe 7.0.17.0 2008.06.26 Suspicious File 

eTrust-Vet 31.6.5910 2008.06.27 - 

Ewido 4.0 2008.06.26 - 

F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado 

F-Secure 7.60.13501.0 2008.06.26 - 

Fortinet 3.14.0.0 2008.06.27 - 

GData 2.0.7306.1023 2008.06.27 - 

Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo 

Kaspersky 7.0.0.125 2008.06.27 - 

McAfee 5326 2008.06.26 - 

Microsoft 1.3704 2008.06.27 - 

NOD32v2 3222 2008.06.26 - 

Norman 5.80.02 2008.06.26 - 

Panda 9.0.0.4 2008.06.26 Suspicious file 

Prevx1 V2 2008.06.27 Fraudulent Security Program 

Rising 20.50.41.00 2008.06.27 - 

Sophos 4.30.0 2008.06.27 - 

Sunbelt 3.0.1176.1 2008.06.26 - 

Symantec 10 2008.06.27 - 

TheHacker 6.2.96.362 2008.06.27 - 

TrendMicro 8.700.0.1004 2008.06.27 - 

VBA32 3.12.6.8 2008.06.27 - 

VirusBuster 4.5.11.0 2008.06.23 - 

Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen 

weitere Informationen 

File size: 84944 bytes 

MD5...: acb3c4c003e59257b6987773ac79fdf8 

SHA1..: e97989a1e55760da1c910d533cfbca28153861f6 

SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f 

SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807

a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688 

PEiD..: - 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x100261af

timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)

machinetype.......: 0x14c (I386)
 

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52

.rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9

.data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7

.rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940

.reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a

dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14
 

( 2 imports ) 

> KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA

> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA
 

( 0 exports )

C:\WINDOWS\system32\acmjexrx.dll

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.6.26.0 2008.06.26 - 

AntiVir 7.8.0.59 2008.06.27 TR/Vundo.Gen 

Authentium 5.1.0.4 2008.06.27 W32/Virtumonde.N.gen!Eldorado 

Avast 4.8.1195.0 2008.06.26 - 

AVG 7.5.0.516 2008.06.26 - 

BitDefender 7.2 2008.06.27 - 

CAT-QuickHeal 9.50 2008.06.26 - 

ClamAV 0.93.1 2008.06.27 - 

DrWeb 4.44.0.09170 2008.06.27 - 

eSafe 7.0.17.0 2008.06.26 Suspicious File 

eTrust-Vet 31.6.5910 2008.06.27 - 

Ewido 4.0 2008.06.26 - 

F-Prot 4.4.4.56 2008.06.27 W32/Virtumonde.N.gen!Eldorado 

F-Secure 7.60.13501.0 2008.06.26 - 

Fortinet 3.14.0.0 2008.06.27 - 

GData 2.0.7306.1023 2008.06.27 - 

Ikarus T3.1.1.26.0 2008.06.27 Trojan.Vundo 

Kaspersky 7.0.0.125 2008.06.27 - 

McAfee 5326 2008.06.26 - 

Microsoft 1.3704 2008.06.27 - 

NOD32v2 3222 2008.06.26 - 

Norman 5.80.02 2008.06.26 - 

Panda 9.0.0.4 2008.06.26 Suspicious file 

Prevx1 V2 2008.06.27 Fraudulent Security Program 

Rising 20.50.41.00 2008.06.27 - 

Sophos 4.30.0 2008.06.27 - 

Sunbelt 3.0.1176.1 2008.06.26 - 

Symantec 10 2008.06.27 - 

TheHacker 6.2.96.362 2008.06.27 - 

TrendMicro 8.700.0.1004 2008.06.27 - 

VBA32 3.12.6.8 2008.06.27 - 

VirusBuster 4.5.11.0 2008.06.23 - 

Webwasher-Gateway 6.6.2 2008.06.27 Trojan.Vundo.Gen 

weitere Informationen 

File size: 84944 bytes 

MD5...: acb3c4c003e59257b6987773ac79fdf8 

SHA1..: e97989a1e55760da1c910d533cfbca28153861f6 

SHA256: f1f068af44acff38aac2bafb53588e20b7cb77d54b394679ef24740c5d10994f 

SHA512: 303e9847d7f10b23d6e8063ef7a258cff2fe971b8e760522f9a71009828c9807

a2022f0a40fb52a97c207ef23c52aabc976a85c50ab75a212ccd95e032e76688 

PEiD..: - 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x100261af

timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)

machinetype.......: 0x14c (I386)
 

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x15000 0xbe00 8.00 0534b15f04e42a28547ef397850d4b52

.rdata 0x16000 0xa000 0x5000 7.99 bb33e120a0421abc74dd62c336e648c9

.data 0x20000 0x3000 0x200 7.61 b83edc14df312ae7a98425431a7fb3e7

.rsrc 0x23000 0x1000 0x200 7.57 1e07bea209d2fc644193fc089c439940

.reloc 0x24000 0x2000 0x1400 7.96 c460b68e8ed11b6f317c47652af0f90a

dfd 0x26000 0x2000 0x15d0 5.79 c85a26f6d7889bdd1c0f5c6cacca5e14
 

( 2 imports ) 

> KERNEL32.dll: GetProcAddress, VirtualFree, VirtualAlloc, LoadLibraryA

> USER32.dll: GetDesktopWindow, EndPaint, BeginPaint, DispatchMessageA, TranslateMessage, DialogBoxParamA
 

( 0 exports )

Vundo/Virtumonde, ein Klassiker, aber leider habe ich das solange nicht mehr gemacht, dass ich das Lieber einem der anderen Helfer überlassen möchte. Ansonsten laufe ich Gefahr, Dir und mir viel Arbeit zu machen und die Sache ist am Ende doch nicht richtig gemacht.

%ComSpec%

1. Malwarebytes
Bitte lasse zuerst Malwarebytes wie beschrieben laufen.

2. Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl :)

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

3. Erstellung eines neuen HiJackThis Logs.
Erstelle bitte ein neues HiJackThis File und editiere es wie beschrieben vor dem Posten.

So nun hab ich es endlich geschafft.
Das eine wirkt wie eine mamut Datei also bitte nicht wundern

1.File-Upload.net - mbam-log-6-27-2008--12-39-12-.txt

2.File-Upload.net - filelist27.txt

3.File-Upload.net - hijackthis2.txt

Gehe wiefolgt vor

1. Mit HiJackThis Einträge fixen und Dateien löschen

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {5B63AA4D-BB46-4EE1-95CC-0FB3548E8475} - (no file)
O2 - BHO: {f89bd4cf-559c-1d5a-2744-9341ff1b683b} - {b386b1ff-1439-4472-a5d1-c955fc4db98f} - C:\WINDOWS\system32\xobjnyfe.dll

(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.

Stelle Deinen Rechner wie hier beschrieben ein.
Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\ebluimvr.ini
C:\WINDOWS\system32\bdss.log
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\vEhOYcdd.ini
C:\WINDOWS\system32\fchdwgyw.dll
C:\WINDOWS\system32\acmjexrx.dll
C:\WINDOWS\system32\ddcYOhEv.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\eoayhuwa.ini
C:\WINDOWS\system32\xobjnyfe.dll
C:\WINDOWS\system32\ppadgbyu.dll
C:\WINDOWS\system32\pbwskvmd.ini
C:\WINDOWS\system32\stfasamf.dll
C:\WINDOWS\system32\rqcylggq.dll
C:\WINDOWS\system32\nonxgril.dll
C:\WINDOWS\system32\fqskmkal.ini
C:\WINDOWS\system32\cljybuhw.dll
C:\WINDOWS\system32\fbjnvqeo.dll
C:\WINDOWS\system32\qnutahvf.ini
C:\WINDOWS\system32\lkUutBeg.ini
C:\WINDOWS\system32\ldgaurlx.dll
C:\WINDOWS\system32\lkUutBeg.ini2
C:\WINDOWS\system32\iqddrakx.dll
C:\WINDOWS\system32\qwlrlbjf.dll
C:\WINDOWS\system32\hgyqntph.ini
C:\WINDOWS\system32\lewjjgvc.ini
C:\WINDOWS\system32\posfounl.ini
C:\WINDOWS\system32\nmplcykg.ini
C:\WINDOWS\system32\mhxnidxs.ini
C:\WINDOWS\Kyor.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\BM17582e68.xml
C:\WINDOWS\_delis32.ini
C:\WINDOWS\BM17582e68.txt

Dann starte den Rechner neu.

2. Dateien bei virustotal prüfen lassen

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\TEST.XML
c:\windows\IsUn0407.exe

3. Die Temporären Dateien auf Deinem Rechner löschen.

ATF - The Cleaner

- Lade ATF - The Cleaner
- Doppelklicke die ATF-CLeaner.exe um das Programm zu starten
- Unter Main, wähle alle
- Klicke den Empty selected Button
- Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Wenn Du Opera benutzt, klicke Opera und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Klicke Exit im Main Menü um das Programm zu schließen

4. Den ADS prüfen

ADS In HiJackThis nutzen

Öffne HiJackThis
Klicke auf "Open the Misc Tools Section"

http://www.saved.im/mjmzmjmzbwdq/hjtmt1.jpg
klicke auf "Open ADS Spy."

http://saved.im/mzm2odnxzgs4/hjtads.jpg
Stelle den ADS Spy so ein, wie im Bild zu sehen, den Quick Scan deaktivieren und die MD5 Option einschalten

http://saved.im/mzm2odi2emrv/hjtads2.jpg
Dann klicke auf "Scan" um Deinen Rechner zu prüfen
Wenn bei Dir Einträge gefunden wurden, klicke auf "Save log" um die Log Datei zu speichern
Poste den Inhalt der LogDatei in Deinem nächsten Post

Wow, danke schon mal

bei 1. habe ich alles gelöscht

2. sieht bei mir so aus
C:\TEST.XML

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 - - - 

AntiVir - - - 

Authentium - - - 

Avast - - - 

AVG - - - 

BitDefender - - - 

CAT-QuickHeal - - - 

ClamAV - - - 

DrWeb - - - 

eSafe - - - 

eTrust-Vet - - - 

Ewido - - - 

F-Prot - - - 

F-Secure - - - 

FileAdvisor - - - 

Fortinet - - - 

Ikarus - - - 

Kaspersky - - - 

McAfee - - - 

Microsoft - - - 

NOD32v2 - - - 

Norman - - - 

Panda - - - 

Prevx1 - - - 

Rising - - - 

Sophos - - - 

Sunbelt - - - 

Symantec - - - 

TheHacker - - - 

VBA32 - - - 

VirusBuster - - - 

Webwasher-Gateway - - BlockReason.0 

weitere Informationen 

MD5: 0a9c8d85bfa9b31d1bd3907524c3fd7f 

SHA1: 5c2e8d61fd39fd138f283ace88e8c7fe44205f1b 

SHA256: f46a6494dc2a99e400048b672684db6c88c4aa6ccfcdb5ee05dbda284f8e6d55 

SHA512: 064d3ae4e13a8295a2e865ad86f1bf2cf8f5bd40e0caa9e89c8d45d1514ba50b3d35728b79bbeb4233e186a1a67cd0e8410364eafe98747f8af1f8e429bd7ded

c:\windows\IsUn0407.exe

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.6.27.1 2008.06.27 - 

AntiVir 7.8.0.59 2008.06.27 - 

Authentium 5.1.0.4 2008.06.27 - 

Avast 4.8.1195.0 2008.06.26 - 

AVG 7.5.0.516 2008.06.27 - 

BitDefender 7.2 2008.06.27 - 

CAT-QuickHeal 9.50 2008.06.26 - 

ClamAV 0.93.1 2008.06.27 - 

DrWeb 4.44.0.09170 2008.06.27 - 

eSafe 7.0.17.0 2008.06.26 - 

eTrust-Vet 31.6.5911 2008.06.27 - 

Ewido 4.0 2008.06.27 - 

F-Prot 4.4.4.56 2008.06.27 - 

F-Secure 7.60.13501.0 2008.06.26 - 

Fortinet 3.14.0.0 2008.06.27 - 

GData 2.0.7306.1023 2008.06.27 - 

Ikarus T3.1.1.26.0 2008.06.27 - 

Kaspersky 7.0.0.125 2008.06.27 - 

McAfee 5327 2008.06.27 - 

Microsoft 1.3704 2008.06.27 - 

NOD32v2 3224 2008.06.27 - 

Norman 5.80.02 2008.06.26 - 

Panda 9.0.0.4 2008.06.26 - 

Prevx1 V2 2008.06.27 - 

Rising 20.50.42.00 2008.06.27 - 

Sophos 4.30.0 2008.06.27 - 

Sunbelt 3.0.1176.1 2008.06.26 - 

Symantec 10 2008.06.27 - 

TheHacker 6.2.96.362 2008.06.27 - 

TrendMicro 8.700.0.1004 2008.06.27 - 

VBA32 3.12.6.8 2008.06.27 - 

VirusBuster 4.5.11.0 2008.06.23 - 

Webwasher-Gateway 6.6.2 2008.06.27 - 

weitere Informationen 

File size: 262144 bytes 

MD5...: ac7bd8195aef068f855076af057e44a9 

SHA1..: 7390885f0f8e819aaaab7af0d04be4ea936b1bf1 

SHA256: b3662aa7c32fb99a73b903f3993737d7ed19c0798e5feb4995281db7e2dd1d6b 

SHA512: 5066961a4654a6e320b446b48b094f38169fb865896cefd618572179579caf0e

f43f8098daadf6f20d775632ec3ee55378496d70af9ca8ba91db24f95e8f342f 

PEiD..: InstallShield 2000 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x41c330

timedatestamp.....: 0x3638e561 (Thu Oct 29 22:00:01 1998)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1f315 0x1f400 6.24 fd4f4cbddcd33f76b523739b629cc3b3

.rdata 0x21000 0x1c0c 0x1e00 5.39 01668df29e4d91578a2309cc44649fc8

.data 0x23000 0x4a7c 0x3800 2.51 8383ed0cfd9809552c7023805b5c9170

.rsrc 0x28000 0x2c000 0x2b600 5.38 b4f02f26b8622aa2101dcdced784f30a
 

( 7 imports ) 

> KERNEL32.dll: DosDateTimeToFileTime, GetPrivateProfileStringA, GetCurrentProcess, LocalFileTimeToFileTime, SetFileTime, MoveFileExA, SetFilePointer, WriteFile, MoveFileA, GetFileAttributesA, lstrcmpA, SetEndOfFile, lstrcpynA, GetLocalTime, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError, GetCurrentThread, GetCurrentDirectoryA, GlobalReAlloc, FileTimeToLocalFileTime, GetFileTime, FileTimeToDosDateTime, GetPrivateProfileSectionA, SetFileAttributesA, DeleteFileA, FindNextFileA, FindClose, WinExec, Sleep, GetModuleFileNameA, GetSystemDefaultLCID, MulDiv, GetWindowsDirectoryA, GetTickCount, lstrcatA, lstrcmpiA, lstrlenA, lstrcpyA, CreateFileA, GetFileSize, GlobalAlloc, CloseHandle, GlobalLock, ReadFile, GlobalUnlock, GetModuleHandleA, GetSystemInfo, FindResourceA, LoadResource, SizeofResource, FreeResource, LockResource, OpenFile, _hwrite, _lclose, GetVersion, IsDBCSLeadByte, GetSystemDirectoryA, WriteProfileSectionA, WritePrivateProfileSectionA, WritePrivateProfileStringA, GlobalCompact, WriteProfileStringA, GetFileType, LCMapStringA, GetProfileSectionA, GlobalHandle, SetErrorMode, GlobalFree, LoadLibraryA, GetProcAddress, FreeLibrary, FindFirstFileA, RemoveDirectoryA, RtlUnwind, GetStdHandle, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, TerminateProcess, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetSystemTime, GetTimeZoneInformation, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapFree, HeapAlloc, LCMapStringW, GetStringTypeA, GetStringTypeW, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapReAlloc

> USER32.dll: SetDlgItemTextA, LoadStringA, MessageBoxA, EndDialog, DialogBoxParamA, wsprintfA, PeekMessageA, SendDlgItemMessageA, BeginPaint, EndPaint, DefWindowProcA, LoadCursorA, GetClassInfoA, OemToCharA, KillTimer, PostQuitMessage, RegisterClassA, GetSysColor, IsDialogMessageA, CharLowerA, CreateWindowExA, EnableWindow, GetWindow, GetClassNameA, CharUpperA, GetWindowTextA, GetDlgItem, SendMessageA, PostMessageA, SetWindowTextA, GetSystemMetrics, SetWindowPos, ShowWindow, UpdateWindow, SetFocus, IsWindow, RegisterWindowMessageA, GetDC, ReleaseDC, ScreenToClient, SetTimer, LoadIconA, DestroyWindow, LoadBitmapA, CreateDialogParamA, InvalidateRect, IsWindowVisible, CharNextA, InflateRect, CharPrevA, CharToOemA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, ExitWindowsEx, FindWindowA, GetClientRect, FillRect, SetRect, SetRectEmpty, GetWindowLongA, GetWindowRect, DispatchMessageA, TranslateMessage, MessageBeep

> GDI32.dll: CreateDIBitmap, SelectPalette, GetDeviceCaps, CreatePalette, GetSystemPaletteEntries, LineTo, MoveToEx, DeleteObject, CreatePen, CreateFontIndirectA, GetObjectA, DeleteDC, BitBlt, CreateCompatibleDC, RestoreDC, Rectangle, GetStockObject, CreateSolidBrush, IntersectClipRect, SaveDC, CreateCompatibleBitmap, SetBkColor, CreateBitmap, SetPixel, GetTextExtentPointA, SelectObject, RealizePalette

> comdlg32.dll: GetOpenFileNameA, GetSaveFileNameA

> ADVAPI32.dll: AllocateAndInitializeSid, RegCloseKey, RegConnectRegistryA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, CloseServiceHandle, OpenSCManagerA, FreeSid, RegCreateKeyExA, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, RegOpenKeyA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegEnumValueA, EqualSid, GetTokenInformation, OpenThreadToken

> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
 

( 0 exports )

3. der ATF-Cleaner gibt bei mir jedes mal "Keine Rückmeldung"

4. Sieht bei mir so aus

Code:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2  (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980  (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : DFC5A2B2  (104 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP : F59BA980  (131 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtest  (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtest  (0 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VSS}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG2-V08M-26E8LC4K2VVR}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VST}  (16 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

C:\Dokumente und Einstellungen\rechner : zylomtr{000HQ7FF-AD7A-3FG5-BPAV-24QJBB1JIVUV}  (17 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

Sorry hat was gedauert, mir gehts grad etwas xx'*#^o.

Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten gmer laufen zu lassen.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Kein Problem ;)
File-Upload.net - gmer.txt

Gute Besserung ;)

Zitat:

Zitat von BataAlexander (Beitrag 350252)

Ich werde nicht ganz aus dem ADS Scan schlau, und würde Dich bitten gmer laufen zu lassen.

Mal so aus einer Bierlaune heraus: Wie wäre es, das Benutzerprofil "Rechner" auf eine FAT-Partition zu verschieben um es dann wieder an den alten Ort zu packen?

%ComSpec%

Zitat:

Zitat von %ComSpec% (Beitrag 350370)

das Benutzerprofil "Rechner" auf eine FAT-Partition zu verschieben um es dann wieder an den alten Ort zu packen?

Damit hätten wir den ADS, allerdings ist da noch was anderes.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.