Trojaner-Board - "***.dll Modul wurde nicht gefunden" - hab ich da was wichtiges gecleaned?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - "***.dll Modul wurde nicht gefunden" - hab ich da was wichtiges gecleaned? (https://www.trojaner-board.de/58123-dll-modul-wurde-gefunden-hab-wichtiges-gecleaned.html)

"***.dll Modul wurde nicht gefunden" - hab ich da was wichtiges gecleaned?

Hallo miteinander,

hatte neulich probleme mit meinem PC und hab mal wieder nen virenscan mit NOD32 durchgeführt. Dabei fanden sich einige threads, u.a. beim oben angegebenen modul:

"C:\windows\system32\jqihmgqq.dll - a variant of win32/Adware.Virtumonde.NBC Application"

insg, wurden dabei 3 files gecleaned. nach dem neustart des systems erschien dann die RUNDLL-Fehlermeldung, dass das Modul jqihmgqq.dll nicht gefunden wurde.

Nebenher will mein IE die ganze zeit seiten öffnen.
Stell hier abschließend mal das HJ-Logfiile rein. wäre echt nett wenn mir jemand helfen könnte.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:16:17, on 18.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

E:\progs\sygate firewall\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

E:\progs\itunes\iTunesHelper.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\devldr32.exe

C:\Programme\Eset\nod32krn.exe

C:\Programme\Eset\nod32kui.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

E:\progs\quicktime\QTTask.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Programme\veoh\VeohClient.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

E:\progs\Office XP\Office10\WINWORD.EXE

C:\WINDOWS\system32\taskmgr.exe

E:\progs\Firefox\firefox.exe

E:\progs\hijackthis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.arcor.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.arcor.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://w*w.arcor.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://w*w.arcor.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.arcor.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG

O2 - BHO: (no name) - {250A11F2-8017-4F3C-9609-60FC60E38730} - C:\WINDOWS\system32\nnnmMCSJ.dll (file missing)

O2 - BHO: CTR DivX Video - {47FE9CB0-BFEE-4EBB-8BE2-F65F8811CEE7} - C:\WINDOWS\system32\amovid.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: {36ced445-bac5-d20a-4854-55080e0ecadb} - {bdace0e0-8055-4584-a02d-5cab544dec63} - C:\WINDOWS\system32\txsxtm.dll (file missing)

O2 - BHO: (no name) - {E1BC7B00-0978-4DD4-8F0F-753E2D7FDFC6} - C:\WINDOWS\system32\fccyyaYq.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [iTunesHelper] "E:\progs\itunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [SmcService] E:\progs\SYGATE~1\smc.exe -startgui

O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [2cf40472] rundll32.exe "C:\WINDOWS\system32\jqihmgqq.dll",b

O4 - HKLM\..\Run: [QuickTime Task] "E:\progs\quicktime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Veoh] "E:\Programme\veoh\VeohClient.exe" /VeohHide

O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\comstl.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = E:\progs\Office XP\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\progs\OFFICE~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\progs\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\progs\ICQ\ICQ.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\games\partypoker\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\games\partypoker\PartyPoker\RunApp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124980369531

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124980357218

O17 - HKLM\System\CCS\Services\Tcpip\..\{2482198E-F466-4849-A829-BD18F5C6BA9C}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6525EF-A643-4C23-B496-EE8DADDFD6A5}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{5FF0A1EA-E3AC-4957-AF79-C7AF968DAD49}: NameServer = 192.168.1.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: txsxtm.dll

O20 - Winlogon Notify: fccyyaYq - C:\WINDOWS\SYSTEM32\fccyyaYq.dll

O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\progs\sygate firewall\smc.exe
 

--

End of file - 7187 bytes

Danke, René

Halli hallo rene-pe

:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- XP_ dingens.org
- Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Scanne den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs.

danke zunächst mal!

hab das jeztz alles mal abgearbeitet!
PSI Secunia zeigt trotz aktualisierung von zB dem vlc-player immer noch meldungen an! Ähnliche Probleme bestehen vor allem mit Sun Java 1.5.x / 5.x (wird vier mal angezeigt) und dem adobe flash player 9.x!

Sonst konnte ich alles aktualisieren, wie empfohlen!

Hier das logfile vom combofix:

Code:

ComboFix 08-09-03.03 - René 2008-09-04 16:51:56.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.631 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\René\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

 * Resident AV is active
 
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\WINDOWS\17PHolmes1535.exe

C:\WINDOWS\system32\drivers\npf.sys

C:\WINDOWS\system32\fccyyaYq.dll

C:\WINDOWS\system32\JSCMmnnn.ini

C:\WINDOWS\system32\JSCMmnnn.ini2

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\Packet.dll

C:\WINDOWS\system32\qqgmhiqj.ini

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdssservers.dat

C:\WINDOWS\system32\vtUooNHy.dll

C:\WINDOWS\system32\WanPacket.dll

C:\WINDOWS\system32\wpcap.dll

C:\WINDOWS\system32\yHNooUtv.ini

C:\WINDOWS\system32\yHNooUtv.ini2
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_NPF

-------\Service_NPF
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-08-04 bis 2008-09-04  ))))))))))))))))))))))))))))))

.
 

2008-09-03 21:53 . 2008-09-03 21:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2008-08-24 20:17 . 2008-08-24 21:17        104,284        --a------        C:\WINDOWS\system32\ssqQgEwu.dll

2008-08-20 18:52 . 2008-08-20 18:52        <DIR>        d--------        C:\WINDOWS\system32\de

2008-08-20 18:52 . 2008-08-20 18:52        <DIR>        d--------        C:\WINDOWS\l2schemas

2008-08-20 18:38 . 2008-04-14 04:22        712,704        ---------        C:\WINDOWS\system32\windowscodecs.dll

2008-08-20 18:38 . 2008-04-14 04:22        346,112        ---------        C:\WINDOWS\system32\windowscodecsext.dll

2008-08-20 18:38 . 2008-04-14 04:22        276,992        ---------        C:\WINDOWS\system32\wmphoto.dll

2008-08-20 18:38 . 2008-04-14 04:22        69,120        ---------        C:\WINDOWS\system32\wlanapi.dll

2008-08-20 18:38 . 2008-04-14 04:22        53,248        ---------        C:\WINDOWS\system32\tsgqec.dll

2008-08-20 18:38 . 2008-04-14 04:22        50,688        ---------        C:\WINDOWS\system32\tspkg.dll

2008-08-20 18:36 . 2008-04-14 04:22        651,264        ---------        C:\WINDOWS\system32\dot3ui.dll

2008-08-20 17:42 . 2008-08-20 18:52        <DIR>        d--------        C:\WINDOWS\system32\de-de

2008-08-20 17:36 . 2008-06-23 18:14        6,066,176        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll

2008-08-20 17:36 . 2007-04-17 11:32        2,455,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-08-20 17:36 . 2007-03-08 07:09        1,040,384        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-08-20 17:36 . 2008-06-23 18:14        459,264        -----c---        C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-08-20 17:36 . 2008-06-23 18:14        383,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-08-20 17:36 . 2008-06-23 18:14        267,776        -----c---        C:\WINDOWS\system32\dllcache\iertutil.dll

2008-08-20 17:36 . 2008-06-23 18:14        63,488        -----c---        C:\WINDOWS\system32\dllcache\icardie.dll

2008-08-20 17:36 . 2008-06-23 18:14        52,224        -----c---        C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-08-20 17:36 . 2008-06-23 11:20        13,824        -----c---        C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-08-18 15:29 . 2008-08-18 15:29        <DIR>        d--------        C:\Programme\Apple Software Update

2008-08-18 15:29 . 2008-08-18 15:29        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

2008-08-18 15:14 . 2008-08-18 15:14        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-08-18 15:14 . 2008-08-18 15:14        1,409        --a------        C:\WINDOWS\QTFont.for

2008-08-14 09:49 . 2008-04-11 21:04        691,712        -----c---        C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-08-14 09:49 . 2008-05-01 16:34        331,776        -----c---        C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-11 12:44 . 2008-08-11 12:44        1,374        --a------        C:\WINDOWS\system32\wpa.bak
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-03 19:51        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-08-18 13:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer

2008-08-18 12:55        ---------        d-----w        C:\Programme\Java

2008-08-17 11:41        ---------        d-----w        C:\Programme\Eset

2008-07-25 14:33        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI

2008-07-25 14:30        ---------        d-----w        C:\Programme\ATI Technologies

2008-07-25 14:29        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-07-04 06:33        3,230,720        ----a-w        C:\WINDOWS\system32\drivers\ati2mtag.sys

2008-07-04 02:28        53,248        ----a-w        C:\WINDOWS\system32\drivers\ati2erec.dll

2006-04-10 10:20        454        -c--a-w        C:\Programme\INSTALL.LOG

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"Veoh"="E:\Programme\veoh\VeohClient.exe" [2008-08-28 3660848]

"SUPERAntiSpyware"="E:\progs\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 1576176]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"iTunesHelper"="E:\progs\itunes\iTunesHelper.exe" [2005-06-24 278528]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-02-07 180269]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"SmcService"="E:\progs\SYGATE~1\smc.exe" [2004-02-24 2372760]

"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2007-08-03 949376]

"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"QuickTime Task"="E:\progs\quicktime\QTTask.exe" [2008-05-27 413696]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "E:\progs\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-07-23 16:28 352256 E:\progs\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=txsxtm.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= ctwdm32.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"E:\\progs\\itunes\\iTunes.exe"=

"E:\\progs\\Soulseek\\slsk.exe"=

"E:\\progs\\Firefox\\firefox.exe"=

"E:\\progs\\WLAN Quick-Starter\\WLAN Quick-Starter.exe"=

"E:\\Programme\\veoh\\VeohClient.exe"=

"E:\\Programme\\SopCast\\SopCast.exe"=

"E:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"F:\\WOrld in Conflict\\wic.exe"=

"F:\\WOrld in Conflict\\wic_online.exe"=

"F:\\WOrld in Conflict\\wic_ds.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 147456]

S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]

S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-08-03 237568]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d8a8b35-09c4-11dd-915c-0013d4640f8e}]

\Shell\AutoRun\command - I:\LaunchU3.exe -a
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7dfd0f2e-de2b-11dc-9128-0013d4640f8e}]

\Shell\AutoRun\command - I:\Launch.exe

.

Inhalt des "geplante Tasks" Ordners

.

- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
 

HKLM-Run-tuloxFreeWBS - (no file)

HKLM-Explorer_Run-SystemManager - C:\WINDOWS\system32\comstl.exe
 
 

.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\René\Anwendungsdaten\Mozilla\Firefox\Profiles\hm1n92am.default\

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-04 16:55:24

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

E:\progs\sygate firewall\Smc.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\Eset\nod32krn.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

E:\progs\PSI secunia (RC3)\psi.exe

C:\WINDOWS\system32\devldr32.exe

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-09-04 16:59:26 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-09-04 14:59:22
 

Pre-Run: 1,489,534,976 Bytes frei

Post-Run: 1,867,198,464 Bytes frei
 

169        --- E O F ---        2008-08-27 12:08:04

hier jetzt das superantispyware logfile:

[code]SUPERAntiSpyware Scan Log
h++p://www.superantispyware.com

Generated 09/04/2008 at 09:07 PM

Application Version : 4.20.1046

Core Rules Database Version : 3556
Trace Rules Database Version: 1544

Scan type : Complete Scan
Total Scan Time : 01:46:50

Memory items scanned : 469
Memory threats detected : 0
Registry items scanned : 5583
Registry threats detected : 0
File items scanned : 120095
File threats detected : 23

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\René\Cookies\rené@promos[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@promos[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@plp[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@register[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@earlyexperience.partyaccount[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@qksrv[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@atdmt[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@fastclick[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@apmebf[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@doubleclick[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@advertising[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@chumtv.122.2o7[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@2o7[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@adtech[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@partners.webmasterplan[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@secure.partyaccount[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@partypoker[2].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@wmvmedialease[1].txt
C:\Dokumente und Einstellungen\René\Cookies\rené@partygaming.122.2o7[1].txt

Trojan.Vundo-Variant/Small-GEN
C:\WINDOWS\SYSTEM32\SSQQGEWU.DLL[\code]

und hier endlich die auswertung von anti-malware:

[code]Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1112
Windows 5.1.2600 Service Pack 3

10.09.2008 18:15:54
mbam-log-2008-09-10 (18-15-54).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 144300
Laufzeit: 1 hour(s), 20 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{5f49381c-f0ca-45a5-98a0-c02062a8109f} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ff542591-ddee-4e48-a972-c71088788a5f} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\fccyyaYq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vtUooNHy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
[\code]

Hast du noch Probleme?

Poste bitte ein Hijackthis logs.

Hallo und danke nochmals!

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:05, on 16.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\progs\sygate firewall\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
E:\progs\itunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\progs\quicktime\QTTask.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\veoh\VeohClient.exe
E:\progs\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
E:\progs\PSI secunia (RC3)\psi.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
E:\progs\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [iTunesHelper] "E:\progs\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] E:\progs\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "E:\progs\quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "E:\Programme\veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\progs\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = E:\progs\PSI secunia (RC3)\psi.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\progs\Office XP\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\progs\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\games\partypoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\games\partypoker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124980369531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124980357218
O17 - HKLM\System\CCS\Services\Tcpip\..\{2482198E-F466-4849-A829-BD18F5C6BA9C}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C6525EF-A643-4C23-B496-EE8DADDFD6A5}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FF0A1EA-E3AC-4957-AF79-C7AF968DAD49}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: txsxtm.dll
O20 - Winlogon Notify: !SASWinLogon - E:\progs\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\progs\sygate firewall\smc.exe

--
End of file - 6618 bytes
[\code]

Suche bitte wie in meiner Sigantur beschrieben wird nach folgender Datei: txsxtm.dll Wo findet er die? Der komplette Dateipfad ist wichtig.

die datei war nicht zu finden.
sonst passt auch wieder alles, außer dass meine firewall von zeit zu zeit einen zugriffsversuch des explorers auf das internet anzeigt...???

Fixe mit Hijackthis folgenden Eintrag:

Zitat:

O20 - AppInit_DLLs: txsxtm.dll

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\WINDOWS\system32\txsxtm.dll

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Folge danach noch dieser Anleitung: http://www.virus-protect.org/artikel/tools/kaspersky.html

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.