Trojaner-Board - Trojaner offersfortoday

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner offersfortoday (https://www.trojaner-board.de/63671-trojaner-offersfortoday.html)

Trojaner offersfortoday

Hallo Trojaner-Board Team,

seit Tagen öffnet sich bei mir ständig das Internet mit unterschiedlichen Seiten, aber oben in der Leiste steht immer ''Ron Ads by offersfortoday''.
Hab eure Anleitung für solche und ähnliche Fälle gelesen und soweit befolgt. Hier nun meine HijackThis-Datei mit der Bitte um weitere Hilfe.

LG
Bernieblue

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:07:39, on 04.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\regsvr32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Trend Micro\BM\TMBMSRV.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe

C:\Programme\Trend Micro\Internet Security\TmProxy.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.aol.de/e60/suche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL

O2 - BHO: (no name) - {06647158-359E-4D10-A8DE-E6145DA90BE9} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: offersfortoday browser enhancer - {3B1DB207-75AD-EBB9-4E85-3FB96B8A9A66} - C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: offersfortoday - {d697c788-8f51-e16e-f57c-2854a3979a10} - C:\WINDOWS\system32\nsaF.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [udljczqjdtocr] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/

O15 - Trusted Zone: h**p://www.xmissy.nl

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h**p://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120770161766

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152697020716

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Trend Micro Zentrale Steuerkomponente (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe
 

--

End of file - 6739 bytes

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll

C:\WINDOWS\system32\nsaF.dll

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Hallo root24,
erstmal VIELEN DANK für die Antwort. Bin bemüht alle Punkte gewissenhaft abzuarbeiten. Frage mich aber, ob vielleicht eine Neuinstallation angebracht wäre - auch um mich damit vom ganzen Datenmüll und nicht mehr benötigten Programmen zu befreien...???

Nichtsdestotrotz hier die ersten Ergebnisse der beiden Dateien von "Virustotal":

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.11.5.3 2008.11.06 - 

AntiVir 7.9.0.26 2008.11.06 - 

Authentium 5.1.0.4 2008.11.06 - 

Avast 4.8.1248.0 2008.11.06 - 

AVG 8.0.0.161 2008.11.06 - 

BitDefender 7.2 2008.11.06 Generic.Adw.Rotator.F9C1F4A9 

CAT-QuickHeal 9.50 2008.11.04 - 

ClamAV 0.94.1 2008.11.06 - 

DrWeb 4.44.0.09170 2008.11.06 - 

eSafe 7.0.17.0 2008.11.06 - 

eTrust-Vet 31.6.6195 2008.11.06 - 

Ewido 4.0 2008.11.06 - 

F-Prot 4.4.4.56 2008.11.06 - 

F-Secure 8.0.14332.0 2008.11.06 - 

Fortinet 3.117.0.0 2008.11.06 Adware/AdClicker 

GData 19 2008.11.06 Generic.Adw.Rotator.F9C1F4A9 

Ikarus T3.1.1.45.0 2008.11.06 Generic.Adw.Rotator 

K7AntiVirus 7.10.518 2008.11.06 - 

Kaspersky 7.0.0.125 2008.11.06 - 

McAfee 5426 2008.11.06 - 

Microsoft 1.4005 2008.11.06 Adware:Win32/AdRotator 

NOD32 3592 2008.11.06 - 

Norman 5.80.02 2008.11.06 - 

Panda 9.0.0.4 2008.11.06 - 

PCTools 4.4.2.0 2008.11.06 - 

Prevx1 V2 2008.11.06 Cloaked Malware 

Rising 21.02.32.00 2008.11.06 - 

SecureWeb-Gateway 6.7.6 2008.11.06 - 

Sophos 4.35.0 2008.11.06 - 

Sunbelt 3.1.1783.2 2008.11.05 - 

Symantec 10 2008.11.06 - 

TheHacker 6.3.1.1.142 2008.11.06 - 

TrendMicro 8.700.0.1004 2008.11.06 - 

VBA32 3.12.8.9 2008.11.06 - 

ViRobot 2008.11.6.1455 2008.11.06 - 

VirusBuster 4.5.11.0 2008.11.06 - 

weitere Informationen 

File size: 178176 bytes 

MD5...: 883663752423ecaffbdfa3da6c5b3468 

SHA1..: 4a215788e9c5a9edd8a62901a1e1d8d54a596c50 

SHA256: 47bec02db181834b4381fe22345c2a800ea49cb032160f1b0858bf29ce2e3c77 

SHA512: 650a6ac99ab1ee7b602d3ef835619f81bbab27cb505002dbd352396128d00bc3

8d2a102b15085fda44eebd01101af0ecc9339f742e32311c2d5181df86ac9ce0 

PEiD..: - 

TrID..: File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x100137f8

timedatestamp.....: 0x490c15fd (Sat Nov 01 08:40:29 2008)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x20c20 0x20e00 6.58 e79e83fffeb18f1d5f934a9dc96adfac

.rdata 0x22000 0x62b7 0x6400 5.28 ebcb0bf711d05b97fb1ce86db356ada0

.data 0x29000 0x30a0 0x1600 3.54 6e49f04ce1d961242d54640006a3a091

.rsrc 0x2d000 0x34c 0x400 4.69 78c79b2295c89456e7d8e51fcd1b7ce1

.reloc 0x2e000 0x26c4 0x2800 4.85 1e897f661a2226e1bbb7775f57e35b38
 

( 8 imports ) 

> RPCRT4.dll: UuidToStringW, RpcStringFreeW

> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW

> SHLWAPI.dll: StrCmpIW, StrStrIW, PathStripPathW, UrlEscapeW, SHDeleteKeyW

> KERNEL32.dll: ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, GetTickCount, SystemTimeToFileTime, GetLocalTime, LocalFree, LoadLibraryA, FreeLibrary, ExpandEnvironmentStringsW, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetEnvironmentVariableW, LocalAlloc, VirtualQuery, GetVolumeInformationW, LoadLibraryW, GetSystemInfo, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetProcAddress, CreateProcessW, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetWindowsDirectoryW, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetModuleHandleA, SetLastError, TlsFree, TlsSetValue, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc

> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, GetWindowThreadProcessId, SetActiveWindow, SendMessageW, GetPropW, RemovePropW, SetWindowTextW, SetPropW, IntersectRect, InflateRect, ClientToScreen, MsgWaitForMultipleObjects, PeekMessageW, TranslateMessage, DispatchMessageW, GetClassNameW, PostMessageW, OffsetRect

> ADVAPI32.dll: CryptCreateHash, CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegCreateKeyExW, RegSetValueW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey

> ole32.dll: CoInitializeEx, CoCreateInstance, CoTaskMemFree, CoUninitialize

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
 

( 4 exports ) 

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

 

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=891B173A0037052DB898024827A87D00F27D9B68

Code:

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 - - Win-Trojan/Xema.variant 

AntiVir - - TR/BHO.Gen 

Authentium - - - 

Avast - - Win32:Trojan-gen {Other} 

AVG - - Generic3.AAHJ 

BitDefender - - - 

CAT-QuickHeal - - - 

ClamAV - - - 

DrWeb - - - 

eSafe - - Win32.Vapsup.nbh 

eTrust-Vet - - - 

Ewido - - - 

F-Prot - - - 

F-Secure - - Trojan.Win32.Vapsup.nbh 

Fortinet - - - 

GData - - Win32:Trojan-gen {Other} 

Ikarus - - BHO.Win32.Fotomoto 

K7AntiVirus - - - 

Kaspersky - - Trojan.Win32.Vapsup.nbh 

McAfee - - Generic.dx 

Microsoft - - BrowserModifier:Win32/Fotomoto 

NOD32 - - probably a variant of Win32/Adware.AdzgaloreBiz 

Norman - - - 

Panda - - - 

PCTools - - - 

Prevx1 - - Malicious Software 

Rising - - Trojan.Win32.Vapsup.evj 

SecureWeb-Gateway - - Trojan.BHO.Gen 

Sophos - - - 

Sunbelt - - - 

Symantec - - - 

TheHacker - - - 

TrendMicro - - - 

VBA32 - - - 

ViRobot - - Trojan.Win32.Agent.364032.C 

VirusBuster - - - 

weitere Informationen 

MD5: 487321bcdb3983a95aaff98d769bdd45 

SHA1: 7cf9af7eb642e524979539e02bb358b3faaf2eee 

SHA256: 98ec82f4e8dc24b8e69e70e3bb2fd579daa42052761b1120add92415f490bf4c 

SHA512: 23440ad9266b9bf2ac1319aa0e59daeefcc4524eca1237405b40f2f81fe6e4d896c74d35eaecaee9a24234d5ccb788483c5ed7d945a8cfd528a11953e8a2ad2f

Hier das Ergebnis vom MBR-Tool:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Blacklight fand keine versteckten Dateien. Ein log-file scheint es dafür nicht zu geben.

Hier der Scan von Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1367

Windows 5.1.2600 Service Pack 3
 

07.11.2008 01:06:13

mbam-log-2008-11-07 (01-06-05).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 46268

Laufzeit: 3 minute(s), 57 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 28

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 5
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\browsingenhancer.browserwatcher (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\browsingenhancer.browserwatcher.1 (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\browsingenhancer.pornpro_bho (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\browsingenhancer.pornpro_bho.1 (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\browsingenhancer.precachebrowserhost (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\browsingenhancer.precachebrowserhost.1 (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{125e9d24-2428-38d2-8e23-804e3275209c} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{3f2579e9-ec37-3112-9bde-d2db14e95c32} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{e12688ce-9384-28e3-a041-4e1a9ce14506} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{5abbd91b-0215-2fe1-7a7e-753f05b40cb8} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{96fdc0f6-929e-e96c-597f-386cd3c7d7aa} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{b056fd59-0c72-3878-da81-4c5239908200} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{98d555cc-a569-43fb-2f43-3a98ccda4b50} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\AppID\{40b2127e-cc18-37d0-43ca-afa158c64001} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5abbd91b-0215-2fe1-7a7e-753f05b40cb8} (Adware.BHO) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9a9c9b68-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9a9c9b69-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\playmp3 (Adware.PlayMP3Z) -> No action taken.

HKEY_CLASSES_ROOT\AppID\BrowsingEnhancer.DLL (Adware.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\BrowsingEnhancer (Adware.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_offersfortoday (Adware.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66} (Adware.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d697c788-8f51-e16e-f57c-2854a3979a10} (Adware.BHO) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{d697c788-8f51-e16e-f57c-2854a3979a10} (Adware.BHO) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\udljczqjdtocr (Trojan.Agent) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\PlayMP3z (Adware.PlayMP3Z) -> No action taken.
 

Infizierte Dateien:

C:\Programme\PlayMP3z\PlayMP3.exe (Adware.PlayMP3Z) -> No action taken.

C:\Programme\PlayMP3z\uninstall.exe (Adware.PlayMP3Z) -> No action taken.

C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\cont_offersfortoday-remove.exe (Adware.Agent) -> No action taken.

C:\WINDOWS\system32\nsaF.dll (Adware.BHO) -> No action taken.

Weiter gehts mit der Log-Datei von Silent Runners:

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"UfSeAgnt.exe" = ""C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"" ["Trend Micro Inc."]

"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" [file not found]

"Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"udljczqjdtocr" = "C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll"" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\(Default) = "AcroIEHelperStub"

  -> {HKLM...CLSID} = "Adobe PDF Link Helper"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll" ["Adobe Systems Incorporated"]

{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "offersfortoday browser enhancer"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll" [null data]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Helper"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

{d697c788-8f51-e16e-f57c-2854a3979a10}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "offersfortoday"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nsaF.dll" [empty string]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension"

  -> {HKLM...CLSID} = "PropPage Class"

                   \InProcServer32\(Default) = "C:\Programme\Symantec\Norton Ghost 2003\GhoShExt.dll" ["Symantec Corporation"]

"{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Ordner HP Share-to-Web"

  -> {HKLM...CLSID} = "Ordner HP Share-to-Web"

                   \InProcServer32\(Default) = "C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

  -> {HKLM...CLSID} = "DesktopContext Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

  -> {HKLM...CLSID} = "Desktop Explorer"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

  -> {HKLM...CLSID} = "nView Desktop Context Menu"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MI1933~1\Office\OLKFSTUB.DLL" [MS]

"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"

  -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{9DED7A30-D572-4D21-8D82-6945EA697400}" = "Macromedia FlashPaper Context Menu"

  -> {HKLM...CLSID} = "FlashPaperContextHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Macromedia\FlashPaper 2\FlashPaperContextMenu.dll" [null data]

"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"

  -> {HKLM...CLSID} = "Nokia Phone Browser"

                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]

"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"

  -> {HKLM...CLSID} = "Contact View"

                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"]

"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"

  -> {HKLM...CLSID} = "Message View"

                   \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"]

"{48F45200-91E6-11CE-8A4F-0080C81A28D4}" = "TMD Shell Extension"

  -> {HKLM...CLSID} = "TMD Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Trend Micro\Internet Security\Tmdshell.dll" ["Trend Micro Inc."]

"{771A9DA0-731A-11CE-993C-00AA004ADB6C}" = "VBPropSheet"

  -> {HKLM...CLSID} = "VBPropSheet"

                   \InProcServer32\(Default) = "C:\Programme\Trend Micro\Internet Security\VBProp.dll" ["Trend Micro Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\

<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Macromedia.FlashPaper.ContextMenu\(Default) = "{9DED7A30-D572-4D21-8D82-6945EA697400}"

  -> {HKLM...CLSID} = "FlashPaperContextHandler Class"

                   \InProcServer32\(Default) = "C:\Programme\Macromedia\FlashPaper 2\FlashPaperContextMenu.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Dolfus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

PDVDPlayCDAudioOnArrival\

"Provider" = "PowerDVD"

"InvokeProgID" = "DVD"

"InvokeVerb" = "Wiedergabe mit PowerDVD"

HKLM\SOFTWARE\Classes\DVD\shell\Wiedergabe mit PowerDVD\Command\(Default) = "C:\Programme\CyberLink\PowerDVD\PowerDVD.exe %1" ["CyberLink Corp."]
 

PDVDPlayDVDMovieOnArrival\

"Provider" = "PowerDVD"

"InvokeProgID" = "DVD"

"InvokeVerb" = "Wiedergabe mit PowerDVD"

HKLM\SOFTWARE\Classes\DVD\shell\Wiedergabe mit PowerDVD\Command\(Default) = "C:\Programme\CyberLink\PowerDVD\PowerDVD.exe %1" ["CyberLink Corp."]
 

RPCDBurningOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.CDBurn.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]
 

RPDeviceOnArrival\

"Provider" = "RealPlayer"

"ProgID" = "RealPlayer.HWEventHandler"

HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"

  -> {HKLM...CLSID} = "RealNetworks Scheduler"

                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]
 

RPPlayCDAudioOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AudioCD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]
 

RPPlayDVDMovieOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.DVD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]
 

RPPlayMediaOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AutoPlay.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Real.com"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]
 

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

"ButtonText" = "Real.com"
 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

AAV UpdateService, AAV UpdateService, "C:\Programme\Gemeinsame Dateien\AAV\aavus.exe" [null data]

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"]

AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]

SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

Trend Micro Personal Firewall, TmPfw, "C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe" ["Trend Micro Inc."]

Trend Micro Proxy Service, tmproxy, ""C:\Programme\Trend Micro\Internet Security\TmProxy.exe"" ["Trend Micro Inc."]

Trend Micro Unauthorized Change Prevention Service, TMBMServer, ""C:\Programme\Trend Micro\BM\TMBMSRV.exe" /service" ["Trend Micro Inc."]

Trend Micro Zentrale Steuerkomponente, SfCtlCom, ""C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe"" ["Trend Micro Inc."]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]

FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]

FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
 
 

---------- (launch time: 2008-11-07 01:12:05)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 62 seconds, including 16 seconds for message boxes)

Hier nun das log-file von Combifix: (Namen durch *** ersetzt)

Code:

ComboFix 08-11-05.02 - *** 2008-11-07  1:46:38.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.617 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-07 bis 2008-11-07  ))))))))))))))))))))))))))))))

.
 

2008-11-07 01:39 . 2008-11-07 01:39        <DIR>        d--------        c:\programme\CCleaner

2008-11-06 23:38 . 2008-11-06 23:38        364,544        --a------        c:\windows\system32\nsaF.dll

2008-11-06 23:38 . 2008-11-06 23:38        178,176        --a------        c:\windows\system32\kqyxlrrusqpjoiv.dll

2008-11-06 23:38 . 2008-11-06 23:38        102,172        --a------        c:\windows\system32\cont_offersfortoday-remove.exe

2008-11-06 23:37 . 2008-11-06 23:37        <DIR>        d--------        c:\windows\LastGood

2008-11-05 11:52 . 2008-11-05 11:52        <DIR>        d--------        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2008-11-05 11:52 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-05 11:52 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-11-05 11:51 . 2008-11-07 01:06        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-11-05 11:51 . 2008-11-05 11:51        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-11-01 01:02 . 2008-11-01 12:27        77,947        --a------        c:\windows\system32\snkgchzkqj.exe

2008-10-29 10:37 . 2008-10-29 10:41        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV

2008-10-27 16:57 . 2007-07-12 11:58        49,904        -ra------        c:\windows\system32\drivers\BVRPMPR5.SYS

2008-10-27 16:45 . 2008-10-27 17:34        <DIR>        d--------        C:\Netgear

2008-10-24 12:19 . 2008-10-15 17:35        337,408        -----c---        c:\windows\system32\dllcache\netapi32.dll

2008-10-24 10:48 . 2008-10-24 10:53        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ArtsAcoustic

2008-10-24 09:46 . 2008-10-31 15:52        <DIR>        d--------        c:\programme\eMule

2008-10-15 09:43 . 2008-08-14 14:19        2,191,488        -----c---        c:\windows\system32\dllcache\ntoskrnl.exe

2008-10-15 09:43 . 2008-08-14 14:19        2,147,840        -----c---        c:\windows\system32\dllcache\ntkrnlmp.exe

2008-10-15 09:43 . 2008-08-14 14:19        2,068,352        -----c---        c:\windows\system32\dllcache\ntkrnlpa.exe

2008-10-15 09:43 . 2008-08-14 14:19        2,026,496        -----c---        c:\windows\system32\dllcache\ntkrpamp.exe

2008-10-15 08:31 . 2008-09-15 16:24        1,846,528        -----c---        c:\windows\system32\dllcache\win32k.sys

2008-10-15 07:48 . 2008-09-08 11:41        333,824        -----c---        c:\windows\system32\dllcache\srv.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-05 15:00        ---------        d-----w        c:\programme\StarMoney 6.0

2008-10-29 09:36        ---------        d-----w        c:\programme\Gemeinsame Dateien\AAV

2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll

2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll

2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll

2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll

2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll

2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe

2008-10-16 13:06        268,648        ----a-w        c:\windows\system32\mucltui.dll

2008-10-16 13:06        208,744        ----a-w        c:\windows\system32\muweb.dll

2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys

2008-09-08 10:41        333,824        ----a-w        c:\windows\system32\drivers\srv.sys

2008-08-26 07:57        826,368        ----a-w        c:\windows\system32\wininet.dll

2008-08-14 13:19        2,191,488        ----a-w        c:\windows\system32\ntoskrnl.exe

2008-08-14 13:19        2,068,352        ----a-w        c:\windows\system32\ntkrnlpa.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66}]

2008-11-06 23:38        178176        --a------        c:\windows\system32\kqyxlrrusqpjoiv.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d697c788-8f51-e16e-f57c-2854a3979a10}]

2008-11-06 23:38        364544        --a------        c:\windows\system32\nsaF.dll
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UfSeAgnt.exe"="c:\programme\Trend Micro\Internet Security\UfSeAgnt.exe" [2008-07-29 1398024]

"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"udljczqjdtocr"="c:\windows\system32\kqyxlrrusqpjoiv.dll" [2008-11-06 178176]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"midi4"= EMGA8U2K.dll
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]

--a------ 2005-03-31 09:30 1106944 c:\programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]

--a------ 2002-08-15 16:32 94208 c:\programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2004-04-17 12:41 196608 c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2004-04-13 06:07 69632 c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

--a------ 2005-03-22 09:39 167936 c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]

--a------ 2005-04-20 09:57 847872 c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]

--a------ 1999-03-15 00:00 37376 c:\programme\Microsoft Money\System\REMINDER.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

--a------ 2006-03-13 10:10 19543592 c:\programme\Skype\Phone\Skype.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipBuster]

--a------ 2006-01-16 15:02 5101112 c:\programme\VoipBuster.com\VoipBuster\voipbuster.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Fax"=2 (0x2)

"WMPNetworkSvc"=3 (0x3)

"Macromedia Licensing Service"=3 (0x3)

"GhostStartService"=2 (0x2)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"c:\\Programme\\Akademische Arbeitsgemeinschaft\\Steuertipps PC 2000\\OnlineUpdate.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\VoipBuster.com\\VoipBuster\\voipbuster.exe"=
 

R1 GhPciScan;GhostPciScanner;c:\programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]

R1 SSHDRV52;SSHDRV52;c:\windows\System32\drivers\SSHDRV52.sys [2004-11-18 29184]

R2 AAV UpdateService;AAV UpdateService;c:\programme\Gemeinsame Dateien\AAV\aavus.exe [2007-10-04 122880]

S2 EMGA8U2K;emagic AMT8 configuration node (USB);c:\windows\system32\drivers\EMGA8U2K.sys [2001-12-06 12532]

S2 EmgicUsb;emagic USB kernel driver;c:\windows\system32\Drivers\EMGICUSB.sys [2001-07-18 28884]
 

*Newly Created Service* - CATCHME

*Newly Created Service* - MBR

*Newly Created Service* - PROCEXP90

.

.

------- Zusätzlicher Suchlauf -------

.

R0 -: HKCU-Main,Start Page = about:blank

R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

R1 -: HKCU-Internet Settings,ProxyOverride = <local>

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-07 01:47:28

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-07  1:48:52

ComboFix-quarantined-files.txt  2008-11-07 00:48:47

ComboFix2.txt  2008-11-07 00:29:54
 

Vor Suchlauf: 18 Verzeichnis(se), 19.053.084.672 Bytes frei

Nach Suchlauf: 18 Verzeichnis(se), 19,042,480,128 Bytes frei
 

145        --- E O F ---        2008-10-24 17:05:53

Hier nun der link von listing-text: File-Upload.net - listing.txt

Und als letztes nochmal das Hijackthis log-file:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:16:20, on 07.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\regsvr32.exe

C:\WINDOWS\system32\wscntfy.exe

G:\Eigene Dateien\Downloads\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {06647158-359E-4D10-A8DE-E6145DA90BE9} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: offersfortoday browser enhancer - {3b1db207-75ad-ebb9-4e85-3fb96b8a9a66} - C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: offersfortoday - {d697c788-8f51-e16e-f57c-2854a3979a10} - C:\WINDOWS\system32\nsaF.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [udljczqjdtocr] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/

O15 - Trusted Zone: h***://www.xmissy.nl

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h***://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120770161766

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h***://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152697020716

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h***://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Trend Micro Zentrale Steuerkomponente (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe
 

--

End of file - 5911 bytes

Hoffe hab jetzt alles richtig gemacht und bin gespannt auf die Antwort...
LG Bernieblue

Zitat:

erstmal VIELEN DANK für die Antwort. Bin bemüht alle Punkte gewissenhaft abzuarbeiten. Frage mich aber, ob vielleicht eine Neuinstallation angebracht wäre - auch um mich damit vom ganzen Datenmüll und nicht mehr benötigten Programmen zu befreien...???

Wenn Dir das lieber ist, kannst Du auch gerne Neuaufsetzen, das ist eh sicherer als Bereinigen. Gib mir kurz ne Rückmeldung ob Du lieber Neuaufsetzen oder Bereinigen möchtest.

Ich würde es vorziehen mit der Bereinigung weiterzumachen.

Ähm, ok, bei MalwareBytes solltest Du die Funde aber schon automatisch löschen lassen. Mach nach der Prozedur mit dem Avenger bitte erneut einen Durchlauf mit MalwareBytes.

Los gehts mit dem Avenger:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | udljczqjdtocr
 

registry keys to delete:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d697c788-8f51-e16e-f57c-2854a3979a10}
 
 

folders to delete:

C:\Programme\PlayMP3z
 

files to delete:

C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll

C:\WINDOWS\system32\cont_offersfortoday-remove.exe

C:\WINDOWS\system32\nsaF.dll

c:\windows\system32\snkgchzkqj.exe

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

*räusper*

Wie wäre es mit "registry values to delete:"?

- Hal.

Zitat:

Zitat von Hal (Beitrag 390011)

*räusper*

Wie wäre es mit "registry values to delete:"?

- Hal.

Danke :D
Dir fällt aber jeder Avenger-Syntaxfehler bei mir auf :crazy:

So, hab die Punkte abgearbeitet. Malwarebytes hat nach der Ausführung nichts verdächtiges mehr entdeckt.
Hier noch die Log-Files von Avenger und Hijackthis:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

h***://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  folder "C:\Programme\PlayMP3z" not found!

Deletion of folder "C:\Programme\PlayMP3z" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll" not found!

Deletion of file "C:\WINDOWS\system32\kqyxlrrusqpjoiv.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\cont_offersfortoday-remove.exe" not found!

Deletion of file "C:\WINDOWS\system32\cont_offersfortoday-remove.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\WINDOWS\system32\nsaF.dll" not found!

Deletion of file "C:\WINDOWS\system32\nsaF.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "c:\windows\system32\snkgchzkqj.exe" deleted successfully.
 

Error:  could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|udljczqjdtocr"

Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|udljczqjdtocr" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66}" not found!

Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b1db207-75ad-ebb9-4e85-3fb96b8a9a66}" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d697c788-8f51-e16e-f57c-2854a3979a10}" not found!

Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d697c788-8f51-e16e-f57c-2854a3979a10}" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:49:39, on 09.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe

C:\Programme\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Trend Micro\BM\TMBMSRV.exe

C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Trend Micro\Internet Security\TmProxy.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

G:\Eigene Dateien\Downloads\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {06647158-359E-4D10-A8DE-E6145DA90BE9} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/

O15 - Trusted Zone: h***://www.xmissy.nl

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - h***://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120770161766

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h***://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152697020716

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h***://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Trend Micro Zentrale Steuerkomponente (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~3\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe
 

--

End of file - 5758 bytes

Das sieht an sich wieder okay aus. Irrtümer vorbehalten :rolleyes:
Wie ist es um das verhalten Deines Rechner bestellt?

Zur Zeit scheint soweit alles im grünen Bereich. Hoffe (für uns beide :) ), dass das auch so bleibt.

Er bootet wohl erst nach zwei oder drei Anläufen hoch (der Bildschirm bleibt dann in der Regel weiß), aber dass macht er schon länger. Vermutlich schon vor dem Virenbefall. Scheint auch eher mit dem TFT Monitor
(171M4 von BTC Korea) zusammenzuhängen. Mit anderen "normalen" Monitoren bootet er sofort hoch. Vielleicht hast du da noch einen Tipp.