Trojaner-Board - Win32/Adware.Virtumonde iifeEWpQ.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Win32/Adware.Virtumonde iifeEWpQ.dll (https://www.trojaner-board.de/58414-win32-adware-virtumonde-iifeewpq-dll.html)

Win32/Adware.Virtumonde iifeEWpQ.dll

hallo leute,

ich bräuchte mal eure hilfe.

ich habe mir gestern eine spyware/adware eingefangen, die sich mit hilfe mehrerer antivirenprogramme nicht beseitigen ließ. erst ESET SMART SECURITY hat das problem überhaupt identifziert.

das hauptproblem ist scheinbar eine datei namens iifeEWpQ.dll

aber er hat auch einige andere .dll `s gefunden. (ich poste im anschluß an den hijackthis-log den eset-log)

eset kann diese nicht löschen, verschiebt sie nur in quarantäne, was dem prog scheinbar nichts anhaben kann.

internet ist ganz bzw. teilweise ausgefallen. ab und zu werden selbsttätig sites geöffnet. ständig gibt es bluescreens und windows fehlermeldungen (zuweisungen usw..)

ok. hier also der hijackthis-log

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:41:02, on 22.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Programme\ESET\ESET Smart Security\ekrn.exe

C:\Programme\RichiStudios\Shutdown\service.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Programme\ESET\ESET Smart Security\egui.exe

C:\windows\system32\Rundll32.exe

C:\windows\system32\rundll32.exe

C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe

C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe

C:\windows\system32\wscntfy.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\D*****\Desktop\HiJackThis.exe
 

R3 - Default URLSearchHook is missing

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe

O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [d89162c7] rundll32.exe "C:\windows\system32\qqibhlmf.dll",b

O4 - HKLM\..\Run: [BMdba2515b] Rundll32.exe "C:\windows\system32\yclblfeo.dll",s

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs

O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"

O4 - HKCU\..\Run: [Somefox] C:\DOKUME~1\Daniel\LOKALE~1\Temp\B2.tmp.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll

O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - h**p://217.6.60.101/blazer/webinstall.cab

O20 - AppInit_DLLs: vjfklv.dll itmajb.dll,dgfqol.dll oxtzqv.dll

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)

O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe

O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 4882 bytes

so, und hier noch die von eset erkannten problemdateien :)

dies ist die häufigste meldung:

23.08.2008 10:19:55 Echtzeit-Dateischutz Datei C:\windows\system32\iifeEWpQ.dll Win32/Adware.Virtumonde Anwendung Gesäubert durch Löschen (nach dem nächsten Neustart) - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: \??\C:\windows\system32\winlogon.exe.

dann diese hier:

22.08.2008 23:27:29 HTTP-Prüfung Datei http://62.4.83.205/kb65666.exe?&uid=117741D6703811DDA069161827CFFFFF&rid=mm2&guid=34627F40134D48259678C81BA295472B&affid=161827 Win32/Adware.Virtumonde Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.

22.08.2008 23:22:53 Echtzeit-Dateischutz Datei C:\WINDOWS\SYSTEM32\MSXML71.DLL Win32/Adware.BHO.NDL Anwendung Gesäubert durch Löschen - in Quarantäne kopiert NT-AUTORITÄT\SYSTEM Ereignis aufgetreten beim Versuch, die Datei zu öffnen durch die Anwendung: C:\windows\explorer.exe.

22.08.2008 23:21:18 HTTP-Prüfung Datei http://207.226.178.149/fa07.dll Variante von Win32/Adware.Virtumonde.NBE Anwendung Verbindung getrennt - in Quarantäne kopiert L******\D***** Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\WINDOWS\explorer.exe.

> ich hoffe ihr könnt mir helfen. ich wäre euch sehr dankbar.

bis dann.

danielsun

Halli hallo danielsun47

:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Installation des aktuellen ServicePacks:
- XP_ ServicePack3
- Vista_ ServicePack1
.
Vernünftige Ordneransicht -> Einstellungen.
.
Abschalten unnötiger Dienste:
- XP_ dingens.org
- Vista_ TechNET
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
- XP_ Firewall
- Vista_ Firewall
.
Räume mit cCleaner auf; Punkte 1&2.
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

Häufig gestellte Fragen: XP | Vista

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Überprüfe dein System danach mit SuperAntiSpyware und Anti-Malware und poste auch ein freisches Hijackthis log.

vielen dank, undoreal..

werde also jetzt mit der abarbeitung deiner liste beginnen.

ich melde mich wieder.

eins schonmal vorweg: das secunia psi bekomm ich nicht zum laufen. es versucht ewig lange das interface zu laden bis irgendwann stillstand herrscht.

Zitat:

es versucht ewig lange das interface zu laden bis irgendwann stillstand herrscht.

Für die Dauer das Secunia läuft müssen die Internetoptionen auf niedrig gestellt sein. Nicht vergessen sie danach wieder hoch zu schrauben!

hallo undoreal,

hab jetzt also die liste abgearbeitet. das hat einige zeit in anspruch genommen. nach der service pack III installation lief dann auch das secunia.

anbei sende ich dir die logfiles von Combofix, SuperAntiSpyware, Anti-Malware und ein eben gescanntes hijackthis.

die fehlermeldungen sind im übrigen weniger geworden das ungewollte aufrufen von internetseiten bleibt aus.

eine sache ist das noch, was mich etwas wundert. beim starten des rechners erscheint immer eine winupx-meldung (im autostart unter rundll34 beim neustart immer wieder geladen und läßt sich nicht abschalten - siehe hijackthis) und sagt, dass irgendwelche persönlichen einstellungen vorgenommen werden.

ok, also hier die logs:

1. combofix

Code:



ComboFix 08-08-21.02 - Daniel 2008-08-23 18:15:22.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\Daniel\Favoriten\Online Security Test.url

C:\windows\BMdba2515b.txt

C:\windows\BMdba2515b.xml

C:\windows\pskt.ini

C:\windows\system32\anyhlyyk.dll

C:\windows\system32\bujpwk.dll

C:\windows\system32\cftswo.dll

C:\windows\system32\clgxqvtt.dll

C:\windows\system32\dgfqol.dll

C:\windows\system32\drxcxhcc.dll

C:\windows\system32\efcDVpoP.dll

C:\windows\system32\enxlvhno.ini

C:\WINDOWS\system32\fmlhbiqq.ini

C:\windows\system32\glqetoho.dll

C:\windows\system32\hiuuxrpo.dll

C:\windows\system32\ikcqrecj.ini

C:\windows\system32\itmajb.dll

C:\windows\system32\iwgmltem.dll

C:\windows\system32\jcerqcki.dll

C:\windows\system32\kwugbcxv.dll

C:\WINDOWS\system32\lblcylou.ini

C:\windows\system32\lrdheulo.dll

C:\windows\system32\lrhfulwk.dll

C:\windows\system32\mdm.exe

C:\windows\system32\mwngly.dll

C:\windows\system32\omkhnqaa.dll

C:\windows\system32\onhvlxne.dll

C:\windows\system32\oxtzqv.dll

C:\windows\system32\pdiimxyu.dll

C:\WINDOWS\system32\PopVDcfe.ini

C:\WINDOWS\system32\PopVDcfe.ini2

C:\windows\system32\pusmudfu.dll

C:\WINDOWS\system32\pylqsjmq.ini

C:\windows\system32\qmjsqlyp.dll

C:\windows\system32\qqibhlmf.dll

C:\windows\system32\sflyeuxu.ini

C:\windows\system32\sjvowwlv.ini

C:\windows\system32\spmpkoen.dll

C:\windows\system32\sslwhfoa.ini

C:\windows\system32\tnjwhsmn.dll

C:\windows\system32\uainrlgf.dll

C:\windows\system32\ubuppm.dll

C:\windows\system32\ufdumsup.ini

C:\windows\system32\ukswedxm.dll

C:\windows\system32\uolyclbl.dll

C:\windows\system32\vfhhqeun.dll

C:\windows\system32\vjfklv.dll

C:\windows\system32\ybjyvqrw.dll

C:\windows\system32\yclblfeo.dll

C:\windows\system32\yfrqxmuy.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-07-23 bis 2008-08-23  ))))))))))))))))))))))))))))))

.
 

2008-08-23 17:47 . 2008-08-23 18:00        <DIR>        d--------        C:\Programme\CCleaner

2008-08-23 16:40 . 2008-08-23 16:40        <DIR>        d--------        C:\WINDOWS\system32\de-de

2008-08-23 16:36 . 2008-04-14 07:52        33,792        -----c---        C:\WINDOWS\system32\dllcache\custsat.dll

2008-08-23 16:32 . 2008-04-13 22:06        144,384        ---------        C:\WINDOWS\system32\drivers\hdaudbus.sys

2008-08-23 16:32 . 2008-04-14 00:10        10,240        ---------        C:\WINDOWS\system32\drivers\sffp_mmc.sys

2008-08-23 16:30 . 2006-12-29 00:31        19,569        --a------        C:\WINDOWS\005827_.tmp

2008-08-23 15:18 . 2008-08-23 15:18        <DIR>        d--------        C:\Programme\Secunia

2008-08-22 17:02 . 2008-08-22 17:02        <DIR>        d--------        C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ESET

2008-08-22 15:38 . 2008-08-22 16:59        <DIR>        d--------        C:\Programme\ESET

2008-08-22 15:38 . 2008-08-22 16:59        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET

2008-08-22 15:09 . 2008-08-22 15:09        102        --ahs----        C:\WINDOWS\klif.spi

2008-08-22 12:46 . 2008-08-23 18:07        16,251        --a------        C:\WINDOWS\system32\winupx

2008-08-22 12:45 . 2008-08-22 15:05        34,823        --a------        C:\WINDOWS\system32\winupx.exe

2008-08-18 12:33 . 2008-08-21 09:15        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-08-18 12:33 . 2008-08-18 12:33        1,409        --a------        C:\WINDOWS\QTFont.for

2008-08-13 22:41 . 2008-04-11 21:04        691,712        -----c---        C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-08-13 22:41 . 2008-05-01 16:34        331,776        -----c---        C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-04 16:06 . 2008-08-04 16:06        <DIR>        d--------        C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\DivX

2008-07-27 13:09 . 2008-07-27 13:54        <DIR>        d--------        C:\Programme\Google

2008-07-27 11:06 . 2008-07-27 11:07        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-23 14:12        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-08-23 11:42        ---------        d-----w        C:\Programme\TuneUp Utilities 2004

2008-08-22 16:00        ---------        d-----w        C:\Programme\Norton Security Scan

2008-08-22 13:28        ---------        d-----w        C:\Programme\Kaspersky Lab

2008-08-22 11:02        ---------        d-----w        C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\uTorrent

2008-08-02 13:56        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-08-02 12:00        0        ----a-w        C:\Programme\temp01

2008-07-26 22:07        ---------        d-----w        C:\Programme\DivX

2008-07-22 01:06        ---------        d-----w        C:\Programme\MSXML 6.0

2008-07-21 11:35        ---------        d-----w        C:\Programme\Microsoft AntiSpyware

2008-07-21 11:06        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

2008-07-15 13:08        ---------        d-----w        C:\Programme\QIP

2008-06-27 16:59        ---------        d-----w        C:\Programme\MP3 Player Utilities 4.14

2008-06-23 22:57        ---------        d-----w        C:\Programme\RichiStudios

2004-11-24 10:51        451,505        ----a-w        C:\Dokumente und Einstellungen\F-Virn\F-PROT.EXE

2004-04-26 10:08        62,697        ----a-w        C:\Programme\setup.ini

2004-04-26 10:08        564,476        ----a-w        C:\Programme\Eumex 704PC DSL.msi

2004-04-26 10:08        3,442,756        ----a-w        C:\Programme\Data.Cab

2001-02-27 02:11        967        ----a-w        C:\Dokumente und Einstellungen\F-Virn\F-PROT.PIF

2000-11-06 11:16        102,400        ----a-w        C:\Programme\setup.exe

2000-07-27 13:49        1,526,275        ----a-w        C:\Programme\instmsiw.exe

2000-07-27 13:49        1,513,987        ----a-w        C:\Programme\instmsia.exe

2003-12-13 12:12        32        --sha-w        C:\windows\{16A30907-D98F-43E9-BCC3-4DE5E6E3F4D2}.dat

2003-12-13 12:13        32        --sha-w        C:\windows\system32\{150456EF-8E25-49B6-8529-B0CA13121B1D}.dat

2003-12-13 12:12        32        --sha-w        C:\windows\system32\{5E76F2F0-4FDD-4C50-8A38-CFD18D0922F9}.dat

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" [2004-11-11 18:51 303616]

"wzc - konfigurationsfreier dienst für drahtlos .."="C:\windows\System32\svchost.exe" [2008-04-14 07:53 14336]

"pdfSaver3"="C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 17:20 380928]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="C:\Programme\ESET\ESET Smart Security\egui.exe" [2008-06-10 18:52 1447168]

"Rundll34"="C:\windows\system32\winupx.exe" [2008-08-22 15:05 34823]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsNetHood"= 1 (0x1)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.SP54"= SP5X_32.DLL

"VIDC.SP55"= SP5X_32.DLL

"VIDC.SP56"= SP5X_32.DLL

"VIDC.SP57"= SP5X_32.DLL

"VIDC.SP58"= SP5X_32.DLL

"VIDC.SP50"= SP5X_32.DLL

"VIDC.SP51"= SP5X_32.DLL

"VIDC.SP52"= SP5X_32.DLL

"VIDC.SP53"= SP5X_32.DLL
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages        REG_MULTI_SZ           msv1_0 nwprovau
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v3 Smart Wizard.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v3 Smart Wizard.lnk

backup=C:\windows\pss\NETGEAR WG111v3 Smart Wizard.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk

backup=C:\windows\pss\Ralink Wireless Utility.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

---hs---- 2008-04-14 07:52 1695232 C:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-01-06 23:39 155648 C:\Programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"TUWinStylerThemeSvc"=3 (0x3)

"InCDsrv"=2 (0x2)
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"InCD"=C:\Programme\Ahead\InCD\InCD.exe

"NeroCheck"=C:\WINDOWS\System32\\NeroCheck.exe

"SunJavaUpdateSched"=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

"VTTimer"=VTTimer.exe

"MediaKey"=C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE

"A.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\A.tmp.exe

"A.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\A.tmp.exe

"6.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\6.tmp.exe

"6.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\6.tmp.exe

"24.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\24.tmp.exe

"24.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\24.tmp.exe

"1A.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\1A.tmp.exe

"1A.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\1A.tmp.exe

"11.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\11.tmp.exe

"11.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\11.tmp.exe

"36.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\36.tmp.exe

"38.tmp.exe"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\38.tmp.exe

"36.tmp"=C:\DOKUME~1\Daniel\LOKALE~1\Temp\36.tmp.exe

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

"MMReminderService"=C:\Programme\Mindjet\MindManager 7\MMReminderService.exe

"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programme\\MSN Messenger\\livecall.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\uTorrent\\uTorrent.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\QIP\\qip.exe"=

"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\German\\setup.exe"=

"C:\\Programme\\Opera\\opera.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

R2  11Fßä#·ºÄÖ`I;Network Security Service;C:\windows\system32\syshd.exe []

R2 Ca504av;Mega Camera, WDM Video Capture;C:\windows\system32\Drivers\Ca504av.sys []

R3 camvid20;Philips ToUcam Camera; Video;C:\windows\system32\DRIVERS\camdrv21.sys []

R3 Defender;Defender;C:\Programme\SinEspias\Defender.sys []

R3 dtwmnic5;Telekom Eumex 704PC DSL;C:\windows\system32\DRIVERS\dtwmnic5.sys [2001-11-16 18:24]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\windows\system32\DRIVERS\klim5.sys []

R3 kxwdmdrv;kX WDM Driver Service;C:\windows\system32\drivers\kx.sys [2003-08-19 00:27]

R3 MagixASIODrv;MAGIX_ASIO_BoostDriver;D:\magix\samplitude7_pro\mxasio.sys [2002-04-16 13:10]

R3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\windows\system32\NSNDIS5.SYS [2004-03-24 04:12]

R3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\Daniel\Desktop\NEUERO~2\AIRCRA~1.41\AIRCRA~1.41\win32\PEEK5.SYS []

R3 PSI;PSI;C:\windows\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]

R3 ulisa;Telekom Eumex x04PC (USB);C:\windows\system32\Drivers\ulisa.sys [2001-11-15 16:49]

R3 USBCamera;Mega Camera Still Image Capture, Version 1.00;C:\windows\system32\Drivers\Bulk504.sys []

R4 hpt3xx;hpt3xx;C:\windows\system32\DRIVERS\hpt3xx.syS []

S1 Asapi;Asapi;C:\windows\system32\DRIVERS\Asapi.syS [2002-04-17 21:27]

S2 CAPI20;Eumex 604PC HomeNet;C:\windows\System32\Drivers\CAPI20.SYS [2002-02-21 12:49]

S2 DETEWECP;Telekom CapiPort;C:\windows\System32\drivers\detewecp.sys [2001-09-18 17:46]

S2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 17:16]

S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;C:\windows\system32\DRIVERS\wg111v3.sys [2007-04-23 14:11]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C74ABF0-7E77-D45F-CC75-92AE801FBD0D}]

C:\windows\system32\winupx.exe

.

Inhalt des "geplante Tasks" Ordners
 

2008-08-22 C:\windows\Tasks\1-Klick-Wartung.job

- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-11-11 18:51]
 

2008-08-22 C:\windows\Tasks\Norton Security Scan.job

- C:\Programme\Norton Security Scan\Nss.exe [2008-01-09 04:08]

.

- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
 

HKLM-Run-d89162c7 - C:\windows\system32\jcerqcki.dll

HKLM-Run-BMdba2515b - C:\windows\system32\pdiimxyu.dll

HKLM-Run-pdfSaver3 - (no file)

HKU-Default-Run-Symantec Network Driver Update Warning - C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE

HKU-Default-Run-Symantec NetDriver Warning - C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE

Notify-iifeEWpQ - (no file)
 
 

.

------- Zus„tzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\xgupxl9m.default\

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-23 18:34:45

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Eintr„ge...
 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  Rundll34 = C:\windows\system32\winupx.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere, laufende Prozesse ------------------------

.

C:\Programme\ESET\ESET Smart Security\ekrn.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-08-23 18:37:36 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-08-23 16:37:07
 

Pre-Run: 2,184,884,224 Bytes frei

Post-Run: 2,092,544,000 Bytes frei
 

255        --- E O F ---        2008-08-23 14:09:25

2. superantispyware

Code:



SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 08/23/2008 at 08:26 PM
 

Application Version : 4.20.1046
 

Core Rules Database Version : 3545

Trace Rules Database Version: 1534
 

Scan type       : Complete Scan

Total Scan Time : 01:36:06
 

Memory items scanned      : 370

Memory threats detected   : 0

Registry items scanned    : 5169

Registry threats detected : 7

File items scanned        : 112468

File threats detected     : 7
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Daniel\Cookies\daniel@main-scanner[1].txt
 

Trojan.SmartFinder

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA#DisplayName

        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA#UninstallString
 

Adware.E404 Helper/Tracker

        HKCR\CLSID\Tracker.TrackerObj

        HKCR\CLSID\Tracker.TrackerObj#UserId
 

Trojan.FakeAlert/Desktop

        HKU\S-1-5-21-507921405-261478967-725345543-1003\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER

        HKU\S-1-5-21-507921405-261478967-725345543-1003\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER
 

Browser Hijacker.Favorites

        C:\DOKUMENTE UND EINSTELLUNGEN\DANIEL\FAVORITEN\SEARCH THE WEB.URL

        C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\DANIEL\FAVORITEN\ONLINE SECURITY TEST.URL.VIR
 

NotHarmful.Sysinternals Bluescreen Screen Saver

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{430931F7-64F8-4087-9008-F0C208EB200B}\RP756\A0161859.SCR
 

Unclassified.Unknown Origin/System

        C:\WINDOWS\SYSTEM32\CRYZ32.EXE
 

Trojan.Downloader-Gen

        C:\WINDOWS\SYSTEM32\STU.DLL
 

Trojan.Unclassified/Loader-Suspicious

        D:\EJAY\DANCE4\EJAY\EJAY\LOADER.EXE

3. antimalware

Code:



Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1078

Windows 5.1.2600 Service Pack 3
 

22:40:36 23.08.2008

mbam-log-08-23-2008 (22-40-36).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)

Durchsuchte Objekte: 146679

Laufzeit: 1 hour(s), 1 minute(s), 22 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 46
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\bujpwk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\clgxqvtt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\dgfqol.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\drxcxhcc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\efcDVpoP.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\hiuuxrpo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\itmajb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\iwgmltem.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\lrdheulo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\lrhfulwk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\omkhnqaa.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\onhvlxne.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\oxtzqv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\qmjsqlyp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\spmpkoen.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\uainrlgf.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\ukswedxm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\uolyclbl.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\vfhhqeun.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\vjfklv.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\yclblfeo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\QooBox\Quarantine\C\WINDOWS\system32\yfrqxmuy.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP756\A0161859.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161953.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161941.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161943.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161944.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161945.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161946.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161948.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161949.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161950.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161954.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161956.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161957.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161958.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161961.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161963.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161965.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161967.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161968.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161969.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161970.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161972.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{430931F7-64F8-4087-9008-F0C208EB200B}\RP757\A0161973.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

der beitrag war zu lang. deswegen poste ich den hijackthis-log anschließend.

so nun hier, da der letzte post zu lang:

4. das hijackthis von eben

Code:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:11:43, on 24.08.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\windows\Explorer.EXE

C:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Programme\ESET\ESET Smart Security\ekrn.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\ESET\ESET Smart Security\egui.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe

C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\windows\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Daniel\Desktop\a n t i\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/firefox?client=firefox-a&rls=org.mozilla:de-DE:official

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe

O4 - HKCU\..\Run: [wzc - konfigurationsfreier dienst für drahtlos ..] C:\windows\System32\svchost.exe -k netsvcs

O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\windows\system32\shdocvw.dll

O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\windows\system32\shdocvw.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\windows\system32\syshd.exe (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET Smart Security\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)

O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
 

--

End of file - 5245 bytes

nun, bin ich mal gespannt. danke für die bisherige hilfe und einen schönen sonntag wünsche ich.

danielsun

Fixe mit HJT folgende Einträge:

Zitat:

O4 - HKLM\..\Run: [Rundll34] C:\windows\system32\winupx.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

Sowie alle ........(no file) und .......(file missing) Einträge.

Gleich danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\windows\system32\winupx.exe

C:\windows\Rundll34.exe

C:\windows\system32\Rundll34.exe

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

hallo..

also der avenger bricht den vorgang mit folgender fehlermeldung ab. > siehe log.

Code:



//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Tue Aug 26 12:06:36 2008
 

12:06:36: Error: Could not open RunOnce key to register cleanup.

Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)
 
 

//////////////////////////////////////////

und nun ?

liebe grüße. danielsun

Aha. Ist ja interessant.

Versuche das Ganze bitte im abgesicherten Modus.

so. ich bin ein paar tage nicht dagewesen.

hab im abgesicherten modus gleiches nochmal probiert; allerdings auch mit dem gleichen resultat.

Code:



Error: Could not open RunOnce key to register cleanup.

Aborting execution! (error 0: der Vorgang wurde erfolgreich beendet.)

hmm..

Dann benutze bitte Killbox zum Löschen der Dateien.