Ständig Virenmeldungen über Trojaner, die nicht gelöscht/repariert werden können
 

Hallo,
ich brauche Hilfe!!

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Seit ein paar Wochen kriege ich ständig Virenmeldungen von Norton AntiVirus und es handelt es sich immer um Trojaner.
Die letzte Meldung (von heute) war:
„Norton Antivirus hat einen Virus auf ihrem Computer gefunden.
Objektname C:\Dokumente und Einstelungen***\Lokale Einstellunge\Temporary Internet Files\Content.IE5\UDEPQ47G\xc29[1].exe
Virenname Trojan.Nebuler
Aktion Die Datei konnte nicht repariert werden
Der Zugriff auf die Datei wurde verwehrt“
Dann noch eine zweite Warnung
„ Es wurde ein verdächtiges Sicherheitsrisiko blockiert
Risikoname Aware.Purityscan
Risikokategorie Adware
Aktion Die Datei wurde automatisch blockiert“

Und diese letzte Meldung hatte ich schon öfters gehabt.
Ich habe den Computer mit VundoFix V6.5.1 überprüfen lassen und er fand 3 infizierten Dateien.
C:WINDOWS\system32\mllmn.dll
C:WINDOWS\system32\nmllm.bak1
C:WINDOWS\system32\nmllm.ini

Sobald ich dann online gehe kriege ich neue Virenmeldung. Ich habe schon den Computer mehrmals mit Norton Antivirus überprüft, er findet aber gar nichts. Der VundoFix findet mal 3 mal 5 Dateien in C:Windows\system32, löscht die dann auch, der „Virenterror“ hört damit aber nicht auf.

Poste bitte ergänzend so ein LogFile:
http://www.trojaner-board.de/17493-a...ijackthis.html

Danke für die Antwort,
habe Anleitung gründlich durchgelesen und hoffe alles richtig gemacht:)
hier ist logFile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:58:22, on 15.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 Alcohol Software Product homepage - Alcohol 120% and Alcohol 52%
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\qlpwaaqy.dll",forkonce
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win512.tmp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1178387121280
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1178387110748
O17 - HKLM\System\CCS\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer = 217.237.149.205 217.237.151.51
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\fjaclgdu.exe (file missing)
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 11590 bytes



wollte jetzt VirusTotal ausprobieren und habe einfach eine Datei genommen (C:\WINDOWS\system32\qlpwaaqy.dll)
das ist der Ergebniss
File qlpwaaqy.dll received on 07.15.2007 22:44:46 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/PSW.Gamania.B
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.15 no virus found
BitDefender 7.2 2007.07.15 Trojan.Vundo.CG
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 Win32/Vundo
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-PWS.Gamania.B
Kaspersky 4.0.2.24 2007.07.15 no virus found
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 VIPRE.Suspicious
Symantec 10 2007.07.15 Trojan.Vundo
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.PSW.Gamania.B
Aditional information
File size: 128576 bytes
MD5: 01e5464343ce97528cc4fec1a86a3ff5
SHA1: 449bb3392fbb0dc6d97b225af5c31655a29b8689
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Ich habe davon echt nicht viel Ahnung, aber da kommt ziemlich oft der Name Trojaner vor. Ist die Datei infiziert? kann ich die einfach so löschen?

Dem System geht es überhaupt nicht gut. Prüf bitte noch diese Dateien bei Virustotal:

C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe

Poste hier die Ergebnisse.

Aufgrund der schlechten Erkennungsraten durch AntiViren-Programme: Kannst Du die Datei C:\WINDOWS\system32\qlpwaaqy.dll wie hier unter Punkt A.) für eine andere Datei beschrieben einsenden? Das wäre hilfreich, Danke!

habe die Datei C:\WINDOWS\system32\qlpwaaqy.dll verschickt und hier Ergebniss von Viustotal
File win512.tmp.exe received on 07.15.2007 23:35:57
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/Dldr.Alphabet.LH1
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.15 Generic5.HHH
BitDefender 7.2 2007.07.15 Generic.Drop.Alpha.E7DFA79F
CAT-QuickHeal 9.00 2007.07.14 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 Trojan.Small
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 Nonaco!tr
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 TrojanDownloader:Win32/Nonaco.A
NOD32v2 2399 2007.07.14 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Adware/DriveCleaner
Sophos 4.19.0 2007.07.06 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.14 Trojan.Drop.Alpha
Symantec 10 2007.07.15 Trojan Horse
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 Trojan.DownLoader.25873
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.Alphabet.LH1
Aditional information
File size: 21504 bytes
MD5: 38d10d1860e69413ac0ed1bf41d6b0fc
SHA1: ab190a0bcb089118b089c8ad2ef078d4da40350c
packers: PECompact, PECompact
packers: PECOMPACT
packers: embedded, PecBundle, PECompact

Hier ist die zweite Datei von Virustotal
File mgrs.exe received on 07.15.2007 23:46:51 (CET)
Current status: finished
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/Dldr.Agent.11776
Authentium 4.93.8 2007.07.13 W32/Downloader2.AJVV
Avast 4.7.997.0 2007.07.13 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.15 Clicker.GNS
BitDefender 7.2 2007.07.15 Generic.Dld.Alpha.EB472BE2
CAT-QuickHeal 9.00 2007.07.14 TrojanDownloader.Agent.gen
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 Nonaco!tr
F-Prot 4.3.2.48 2007.07.13 W32/Downloader2.AJVV
Ikarus T3.1.1.8 2007.07.15 Trojan-Clicker.Win32.Agent.jb
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 TrojanDownloader:Win32/Small.gen!F
NOD32v2 2399 2007.07.14 probably a variant of Win32/TrojanClicker.Agent.NBS
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Adware/Antivirus-gold
Sophos 4.19.0 2007.07.06 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.14 Trojan-Downloader.Win32.Small.gen!F
Symantec 10 2007.07.15 Downloader
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.Agent.11776
Aditional information
File size: 12288 bytes
MD5: 65fe4e5a99a3cf3f83cd044902943e13
SHA1: 131150c907a1c191ee734a19302bbc372e6b9f3f
packers: PECompact
packers: PECOMPACT

Und noch diese? ->
C:\WINDOWS\TEMP\win512.tmp.exe

Datei C:\WINDOWS\TEMP\win512.tmp.exe

File win512.tmp.exe received on 07.15.2007 23:35:57 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.42 2007.07.15 TR/Dldr.Alphabet.LH1
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.15 Generic5.HHH
BitDefender 7.2 2007.07.15 Generic.Drop.Alpha.E7DFA79F
CAT-QuickHeal 9.00 2007.07.14 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.15 no virus found
DrWeb 4.33 2007.07.15 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 Trojan.Small
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 Nonaco!tr
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
Kaspersky 4.0.2.24 2007.07.15 Trojan-Downloader.Win32.Alphabet.h
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.15 TrojanDownloader:Win32/Nonaco.A
NOD32v2 2399 2007.07.14 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 Adware/DriveCleaner
Sophos 4.19.0 2007.07.06 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.14 Trojan.Drop.Alpha
Symantec 10 2007.07.15 Trojan Horse
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 Trojan.DownLoader.25873
VirusBuster 4.3.23:9 2007.07.15 no virus found
Webwasher-Gateway 6.0.1 2007.07.15 Trojan.Dldr.Alphabet.LH1
Aditional information
File size: 21504 bytes
MD5: 38d10d1860e69413ac0ed1bf41d6b0fc
SHA1: ab190a0bcb089118b089c8ad2ef078d4da40350c
packers: PECompact, PECompact
packers: PECOMPACT
packers: embedded, PecBundle, PECompact

Bitte diese beiden Dateien auch noch mailen:

C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe

Danach geht es dann weiter.

habe versendet

Bitte wie folgt vorgehen:

A.) Beende den Virenscanner und deaktiviere ihn vorläufig für nachfolgende Neustarts.

B.) Killbox laden: KillBox.Net

C.) Klick dort auf "Download KillBox" und speichere die dann geladene
Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene
Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung.

D.) Führe "KillBox.exe" aus.

E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf
"Delete on Reboot".

F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf.

G.) Kopiere nun aus diesem Posting diese vier Pfade (nicht mehr und
nicht weniger, nur diese vier Zeilen, die hinter diesem Doppelpunkt folgen):

C:\WINDOWS\TEMP\win512.tmp.exe
C:\WINDOWS\mgrs.exe
C:\WINDOWS\system32\qlpwaaqy.dll
C:\WINDOWS\system32\fjaclgdu.exe

H.) Wechsele wieder zum KillBox-Fenster. Klick darin oben links auf
"File", dann "Paste from Clipboard".

I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem
weißen Kreuz.

J.) Es kommt nun die Frage, ob das System neu gestartet werden soll.
Bestätige mit "Ja".

Melde Dich dann wieder hier mit einem neu erstellten LogFile.

erstmal danke für die die super Anleitung
hier ist die neue logFile

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Ok, soweit die erste Maßnahme.

Geh nun ähnlich vor, wie ich es in diesem Thread auf dieser Seite für Lily123 beschrieben hatte (siehe die ersten vier Postings von oben auf der Seite):

Wechsele ggf. erst nach Umkonfiguration der Anzeigeeinstellungen in den Ordneroptionen in den Ordner C:\!Killbox, schau nach, welche Dateien sich darin befinden und berichte dann hier.

Wichtig! Mit den bisherigen Maßnahmen ist das System NICHT zuverlässig gesäubert. Die Maßnahmen dienten nur dazu, Dir etwas "Luft" zu verschaffen, um Dich weitergehend informieren zu können.

Hallo,
puuuhhh ich habe jetzt noch mehr Probleme als vorher.
Es ist wieder ein Trojaner eingedrungen, wollte ihn mit Vundofix entfernen, der konnte aber eine Datei (C:\Windows\system32\ssttt.dll) auch nach dem Neustarten nicht entfernen. Allgemein passierte nach dem Neustarten gar nichts (der Vundo ist nicht einmal hochgefahren).Kann ich versuchen diese Datei mit Killbox zu entfernen?
Das zweite Problem: AutoProtect vom NortonAntivirus wird immer wieder deaktiviert.Wahrscheinlich von diesem neu eingedrungenem Virus.
Und beim Hochfahren von Windows bekomme ich immer Meldung
"RUNDLL
Fehler beim Laden von C:\Windows\яыеуь32\qlpwaaqy.dll
Das angegebene Modul wurde nicht gefunden". Wollte nur fragen ob das schlimm ist?

So und jetzt zum Inhalt von C:\!KillBox
Es befinden sich einmal die Datei "qlpwaaqy.dll"
und ein Ordner "Logs", in diesem Ordner ist ein Textokument "kb". Und das ist Inhalt dieser Textdatei

"Pocket Killbox version 2.0.0.881
Running on Windows XP as ***(Administrator)
was started @ Montag, Juli 16, 2007, 12:28 AM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\qlpwaaqy.dll


I Rebooted @ 12:30:02 AM
Killbox Closed(Exit) @ 12:30:04 AM
______________________________________________"


Was soll ich jetzt weiter machen? Neuausetzen ist für mich wohl unumgänglich, oder? :schmoll:

Ja, mach es, aber ich fürchte, es sind noch weitere Schädlingskomponenten aktiv, die bisher unentdeckt blieben und für das Nachladen weiterer sorgen.

Das hängt sicher mit der Malwarekomponente zusammen, ja. Leider ist auf dem zu schützenden System laufenden Schutzsoftware von Schädlingen manipulierbar.

Nein, das ist nicht schlimm, weil es im Prinzip besagt, dass die Malware-Datei, die mit diesem Eintrag in Verbindung steht, gelöscht wurde.

OK, die dll-Datei kannst Du löschen.

OK, aber über die anderen Dateien steht dort nichts. Poste bitte ein neues, aktuelles HijackThis-LogFile.

Ja, das ist es leider. Ich wollte Dir allerdings für den Moment etwas Luft zur Informationsgewinnung verschaffen.

Bitte ergänzend: Wende datfind an:
Datfindbat

Lade Dir die zip-Datei herunter, speichere sie z.B. auf dem Desktop oder in den Eigenen Dateien ab, entpacke sie, starte die datfind.bat.

Es werden insgesamt sechs LogFiles erstellt, eines nach dem anderen.
Nach dem Ausführen der Datei erscheint automatisch das erste. Linksseitig in dem Textdokument ist jeweils das Datum zu den Einträgen aufgelistet. Kopiere nun aus der Textdatei die Einträge der letzten 30 Tage und füge sie hier in ein Posting ein.

Schließe dann das erste Textfenster, klick beliebig in das schwarze Eingabe-Fenster und drück die Enter-Taste - das nächste LogFile wird erstellt. Kopiere hieraus abermals die Einträge der letzten 30 Tage in ein Posting, schließe die Textdatei, und so weiter, bis Du alle sechs durch hast.

Sende danach Dein Posting ab. Bitte grenze die einzelnen LogFiles mit mindestens zwei Zeilen voneinander ab - das schafft eine bessere Übersichtlichkeit.

erstmal neu LogFile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:40, on 16.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 w*w.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\qlpwaaqy.dll",forkonce
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win512.tmp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [icq.com] rundll32.exe "C:\DOKUME~1\***\LOKALE~1\Temp\bmngllsv.dll",forkonce
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178387121280[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178387110748[/url]
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\fjaclgdu.exe (file missing)
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 9979 bytes

Poste bitte zuerst noch die LogFiles von datfind. Geh anschließend wie folgt vor:

Schließe alle Windows Explorer und Internet Explorer Fenster.
Starte HijackThis, wähle dieses Mal jedoch "Do a System scan only".

Setze dann Häkchen neben diesen Einträgen:
Klick anschließend auf "Fix checked" und bestätige die Abfrage mit "Ja".

Starte das System neu, poste ein neues HiackThis-LogFile.
Lade Dir anschließend Blacklight von F-Secure:

F-Secure Blacklight > BlackLight Testversion

Klick dazu unten auf der Seite auf "I accept", danach auf den oberen Download-Button. Nachdem Du das Programm abgespeichert hat, führst Du es aus, bestätigst "I accept the agreement", klickst auf "Scan" und wartest das Scanergebnis ab. Berichte dann ausführlich darüber.

die LogFiles von datfind

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC67-DFBE

Verzeichnis von C:\WINDOWS\system32

16.07.2007 18:02 402 tttss.tmp
16.07.2007 18:02 402 tttss.ini
16.07.2007 18:01 88.566 nvapps.xml
16.07.2007 18:01 13.646 wpa.dbl
16.07.2007 17:44 380.350 perfh009.dat
16.07.2007 17:44 63.576 perfc007.dat
16.07.2007 17:44 52.764 perfc009.dat
16.07.2007 17:44 390.960 perfh007.dat
16.07.2007 17:44 897.954 PerfStringBackup.INI
15.07.2007 22:24 266.336 ssttt.dll
15.07.2007 22:19 1.073.254 yqaawplq.ini
15.07.2007 10:27 31.254 jkkjhgd.dll
12.07.2007 20:42 320.336 FNTCACHE.DAT
10.07.2007 10:36 1.055.288 sjhpblnu.ini
09.07.2007 10:59 1.054.928 gvbchbkp.ini
08.07.2007 15:55 143 mcrh.tmp
08.07.2007 09:59 1.054.688 helqdsyg.ini
07.07.2007 09:52 1.054.449 gkrqvrei.ini
06.07.2007 11:51 825 uoivadbs.ini
05.07.2007 21:57 28.672 syswin6000.exe
05.07.2007 12:34 31.254 vtusqqn.dll
28.06.2007 09:57 16.256.984 MRT.exe
16.06.2007 20:42 525 jecujoib.ini
15.06.2007 01:21 22.016 winhld32.dll



Verzeichnis von C:\DOKUME~1\remik\LOKALE~1\Temp

16.07.2007 18:06 1.903 jusched.log
13.07.2007 21:47 797.676 IMT42E.xml
13.07.2007 21:47 426 IMT42D.xml
13.07.2007 21:47 2.036 IMT42C.xml
13.07.2007 21:47 797.676 IMT42B.xml
13.07.2007 21:47 426 IMT42A.xml
13.07.2007 21:47 2.036 IMT429.xml
13.07.2007 21:46 797.676 IMT424.xml
13.07.2007 21:46 426 IMT423.xml
13.07.2007 21:46 2.036 IMT422.xml
13.07.2007 21:46 797.676 IMT421.xml
13.07.2007 21:46 426 IMT420.xml
13.07.2007 21:46 2.036 IMT41F.xml
13.07.2007 20:47 2.156 wmplog02.sqm
13.07.2007 17:41 355 dw.log
10.07.2007 22:43 703 TWAIN.LOG
10.07.2007 22:43 3 Twain001.Mtx
10.07.2007 22:43 156 Twunk001.MTX
10.07.2007 22:24 0 Twunk002.MTX
10.07.2007 21:54 1.952 wmplog01.sqm
10.07.2007 21:49 4.240 wmplog00.sqm
10.07.2007 17:32 142.385 SetupExe(20070710172815FEC).log
10.07.2007 17:26 141.654 SetupExe(2007071017205816C0).log
10.07.2007 15:22 506.035 jar_cache25179.tmp
10.07.2007 15:22 208 java_install_reg.log
10.07.2007 13:57 7.951 SetupExe(200707101355581708).log
10.07.2007 12:18 4.216 240140.manifest
10.07.2007 12:18 2.172 239609.cvr
10.07.2007 12:12 32.768 ~DFD84C.tmp
10.07.2007 12:04 32.768 ~DF752D.tmp
10.07.2007 12:02 4.218 1084250.manifest
10.07.2007 12:02 2.252 1083968.cvr
10.07.2007 10:40 0 TempCover5
09.07.2007 15:12 0 TempCover4
08.07.2007 16:02 0 TempCover3
08.07.2007 15:33 22.245 Turkish.bin
08.07.2007 15:33 21.958 Norwegian.bin
08.07.2007 15:33 26.076 Hungarian.bin
08.07.2007 15:33 19.553 Hebrew.bin
08.07.2007 15:33 22.853 Finnish.bin
08.07.2007 15:33 24.310 Czech.bin
08.07.2007 15:33 25.067 Portuguese(Brazil).bin
08.07.2007 15:33 24.219 Polish.bin
08.07.2007 15:33 25.080 Greek.bin
08.07.2007 15:33 21.977 Thai.bin
08.07.2007 15:33 20.974 Arabic.bin
08.07.2007 15:33 16.404 SimChin.bin
08.07.2007 15:33 21.911 English.bin
08.07.2007 15:33 26.256 Portuguese.bin
08.07.2007 15:33 24.088 SWEDISH.bin
08.07.2007 15:33 27.754 Spanish.bin
08.07.2007 15:33 26.125 Russian.bin
08.07.2007 15:33 27.409 Italian.bin
08.07.2007 15:33 25.746 German.bin
08.07.2007 15:33 27.237 French.bin
08.07.2007 15:33 16.949 TradChin.bin
08.07.2007 15:33 25.741 Dutch.bin
08.07.2007 15:33 22.769 Danish.bin
08.07.2007 15:33 20.135 Korean.bin
08.07.2007 15:33 24.297 Japanese.bin
07.07.2007 13:15 512 {AC76BA86-7AD7-1031-7B44-A81000000003}.ini
07.07.2007 11:46 0 TempCover2
07.07.2007 11:46 8.794 BCG4A9.tmp
07.07.2007 11:46 8.794 BCG4A8.tmp
07.07.2007 10:57 2.643 wfmyyoct.exe
07.07.2007 10:54 4.083 jiwhgfau.exe
07.07.2007 09:59 438 MSI8b8f8.LOG


Verzeichnis von C:\WINDOWS

16.07.2007 17:59 3.025.708 ntbtlog.txt
16.07.2007 17:41 0 0.log
16.07.2007 17:41 1.693.916 WindowsUpdate.log
16.07.2007 17:40 159 wiadebug.log
16.07.2007 17:40 0 wiaservc.log
16.07.2007 17:40 2.048 bootstat.dat
16.07.2007 17:39 32.566 SchedLgU.Txt
15.07.2007 10:37 937.961 setupapi.log
10.07.2007 21:54 69 NeroDigital.ini
10.07.2007 17:29 608 win.ini
09.07.2007 15:30 3.316 regopt.log
01.07.2007 19:10 227 system.ini
30.06.2007 21:40 141 usdthank.ini
26.06.2007 14:12 972.072 UNNeroVision.exe
25.06.2007 08:47 238.888 NuNInst.exe
22.06.2007 22:15 12.168 wmsetup.log
22.06.2007 11:53 478 setuplog.txt
21.06.2007 16:34 180.951 setupact.log
21.06.2007 16:21 37 Install_Studio11.log
20.06.2007 23:00 22.882 KB935840.log
18.06.2007 21:49 12.862 EPISMG00.SWB
16.06.2007 20:42 247 wr.txt


Verzeichnis von C:\WINDOWS\Temp

16.07.2007 18:01 409 WGANotify.settings
16.07.2007 18:01 255 WGAErrLog.txt
16.07.2007 17:50 0 winA6.tmp
16.07.2007 17:48 0 winA5.tmp
16.07.2007 17:46 0 winA3.tmp
16.07.2007 17:44 0 winA2.tmp
16.07.2007 17:42 0 win9A.tmp
16.07.2007 17:35 0 winCE.tmp
16.07.2007 17:35 0 winCD.tmp
16.07.2007 17:35 0 winCB.tmp
16.07.2007 17:35 0 winCC.tmp
16.07.2007 17:21 0 winC8.tmp
16.07.2007 16:59 0 winA8.tmp
16.07.2007 16:39 0 winA4.tmp
16.07.2007 15:37 0 winA1.tmp
16.07.2007 15:35 0 winA0.tmp
16.07.2007 15:33 0 win9F.tmp
16.07.2007 15:33 0 win9B.tmp
16.07.2007 15:33 0 win9E.tmp
16.07.2007 15:33 0 win9D.tmp
16.07.2007 15:33 0 win9C.tmp
16.07.2007 15:31 0 win99.tmp
16.07.2007 15:31 0 win97.tmp
16.07.2007 15:31 0 win98.tmp
16.07.2007 15:31 0 win96.tmp
16.07.2007 15:31 0 win95.tmp
16.07.2007 15:30 0 win94.tmp
16.07.2007 15:30 0 win93.tmp
16.07.2007 15:30 0 win92.tmp
16.07.2007 15:30 0 win91.tmp
16.07.2007 15:30 0 win90.tmp
16.07.2007 15:29 0 win8F.tmp
16.07.2007 15:29 0 win8E.tmp
16.07.2007 15:29 0 win8C.tmp
16.07.2007 15:29 0 win8A.tmp
16.07.2007 15:29 0 win8B.tmp
16.07.2007 15:29 0 win88.tmp
16.07.2007 15:29 0 win81.tmp
16.07.2007 15:29 0 win89.tmp
16.07.2007 15:29 0 win80.tmp
16.07.2007 15:29 0 win76.tmp
16.07.2007 15:26 0 win7E.tmp
16.07.2007 15:26 0 win7F.tmp
16.07.2007 15:26 0 win7B.tmp
16.07.2007 15:26 0 win7A.tmp
16.07.2007 15:26 0 win79.tmp
16.07.2007 15:24 0 win74.tmp
16.07.2007 15:24 0 win72.tmp
16.07.2007 15:24 0 win75.tmp
16.07.2007 15:24 0 win71.tmp
16.07.2007 15:24 0 win70.tmp
16.07.2007 10:20 0 win87.tmp
16.07.2007 10:18 0 win7C.tmp
16.07.2007 10:16 0 win77.tmp
16.07.2007 10:14 0 win6F.tmp
16.07.2007 10:12 0 win6D.tmp
16.07.2007 08:54 0 win6C.tmp
16.07.2007 08:52 0 win66.tmp
16.07.2007 08:52 0 win6B.tmp
16.07.2007 08:52 0 win68.tmp
16.07.2007 08:52 0 win6A.tmp
16.07.2007 08:52 0 win69.tmp
16.07.2007 08:50 0 win64.tmp
16.07.2007 08:50 0 win63.tmp
16.07.2007 08:50 0 win62.tmp
16.07.2007 08:50 0 win60.tmp
16.07.2007 08:50 0 win61.tmp
16.07.2007 08:48 0 win5E.tmp
16.07.2007 08:48 0 win5F.tmp
16.07.2007 08:48 0 win5D.tmp
16.07.2007 08:48 0 win5C.tmp
16.07.2007 08:48 0 win5B.tmp
16.07.2007 08:46 0 win4A.tmp
16.07.2007 08:46 0 win12.tmp
16.07.2007 08:46 0 win13.tmp
16.07.2007 08:46 0 win5.tmp
16.07.2007 08:46 0 win4.tmp
16.07.2007 00:51 0 win37.tmp
16.07.2007 00:49 0 win1B.tmp
16.07.2007 00:47 0 win10.tmp
16.07.2007 00:45 0 winF.tmp
16.07.2007 00:43 0 winD.tmp
16.07.2007 00:21 0 win65.tmp
15.07.2007 23:59 0 win49.tmp
15.07.2007 23:51 0 win36.tmp
15.07.2007 23:51 0 win31.tmp
15.07.2007 23:51 1.383 win30.tmp
15.07.2007 23:39 0 win1A.tmp
15.07.2007 23:17 0 win11.tmp
15.07.2007 22:55 0 winE.tmp
15.07.2007 22:33 0 winC.tmp
15.07.2007 22:31 0 winA.tmp
15.07.2007 22:29 0 win9.tmp
15.07.2007 22:27 0 win7.tmp
15.07.2007 22:25 0 win6.tmp
15.07.2007 22:05 0 winE1.tmp
15.07.2007 21:51 0 winD9.tmp
15.07.2007 21:51 0 winD8.tmp
15.07.2007 21:51 0 winD7.tmp
15.07.2007 21:51 0 winDA.tmp
15.07.2007 21:43 0 winD6.tmp
15.07.2007 21:21 0 winCF.tmp
15.07.2007 19:49 0 winC7.tmp
15.07.2007 19:49 0 winC4.tmp
15.07.2007 19:49 0 winC5.tmp
15.07.2007 19:49 0 winC6.tmp
15.07.2007 19:47 0 winC3.tmp
15.07.2007 19:47 0 winC1.tmp
15.07.2007 19:47 0 winC0.tmp
15.07.2007 19:47 0 winC2.tmp
15.07.2007 19:47 0 winBF.tmp
15.07.2007 17:15 0 winBE.tmp
15.07.2007 16:53 0 winB7.tmp
15.07.2007 16:31 0 win8D.tmp
15.07.2007 16:11 0 win85.tmp
15.07.2007 16:11 0 win84.tmp
15.07.2007 16:11 0 win86.tmp
15.07.2007 16:11 0 win83.tmp
15.07.2007 16:11 0 win82.tmp
15.07.2007 15:49 0 win7D.tmp
15.07.2007 15:29 0 win78.tmp
15.07.2007 15:07 0 win73.tmp
15.07.2007 14:45 0 win6E.tmp
15.07.2007 14:23 0 win67.tmp
15.07.2007 14:11 0 win5A.tmp
15.07.2007 14:11 0 win59.tmp
15.07.2007 14:11 0 win58.tmp
15.07.2007 14:11 0 win57.tmp
15.07.2007 14:09 0 win53.tmp
15.07.2007 14:09 0 win56.tmp
15.07.2007 14:09 0 win55.tmp
15.07.2007 14:09 0 win54.tmp
15.07.2007 14:07 0 win52.tmp
15.07.2007 14:07 0 win51.tmp
15.07.2007 14:07 0 win50.tmp
15.07.2007 14:07 0 win4F.tmp
15.07.2007 14:05 0 win4C.tmp
15.07.2007 14:05 0 win4E.tmp
15.07.2007 14:05 0 win4D.tmp
15.07.2007 14:05 0 win4B.tmp
15.07.2007 14:03 0 win48.tmp
15.07.2007 14:03 0 win47.tmp
15.07.2007 14:03 0 win46.tmp
15.07.2007 14:03 0 win45.tmp
15.07.2007 14:03 0 win44.tmp
15.07.2007 14:01 0 win42.tmp
15.07.2007 14:01 0 win43.tmp
15.07.2007 14:01 0 win41.tmp
15.07.2007 14:01 0 win40.tmp
15.07.2007 13:59 0 win3C.tmp
15.07.2007 13:59 0 win3F.tmp
15.07.2007 13:59 0 win3E.tmp
15.07.2007 13:59 0 win3D.tmp
15.07.2007 13:57 0 win39.tmp
15.07.2007 13:57 0 win3B.tmp
15.07.2007 13:57 0 win3A.tmp
15.07.2007 13:57 0 win38.tmp
15.07.2007 13:55 0 win35.tmp
15.07.2007 13:55 0 win32.tmp
15.07.2007 13:55 0 win34.tmp
15.07.2007 13:55 0 win33.tmp
15.07.2007 13:53 0 win2C.tmp
15.07.2007 13:53 0 win2F.tmp
15.07.2007 13:53 0 win2E.tmp
15.07.2007 13:53 0 win2D.tmp
15.07.2007 13:51 0 win28.tmp
15.07.2007 13:51 0 win2A.tmp
15.07.2007 13:51 0 win29.tmp
15.07.2007 13:51 0 win2B.tmp
15.07.2007 13:49 0 win25.tmp
15.07.2007 13:49 0 win24.tmp
15.07.2007 13:49 0 win26.tmp
15.07.2007 13:49 0 win27.tmp
15.07.2007 13:47 0 win20.tmp
15.07.2007 13:47 0 win21.tmp
15.07.2007 13:47 0 win22.tmp
15.07.2007 13:47 0 win23.tmp
15.07.2007 13:45 0 win1C.tmp
15.07.2007 13:45 0 win1F.tmp
15.07.2007 13:45 0 win1E.tmp
15.07.2007 13:45 0 win1D.tmp
15.07.2007 13:43 0 win19.tmp
15.07.2007 13:43 0 win16.tmp
15.07.2007 13:43 0 win17.tmp
15.07.2007 13:43 0 win18.tmp
15.07.2007 13:43 0 win15.tmp
15.07.2007 11:23 0 win14.tmp
15.07.2007 11:01 0 winB.tmp
15.07.2007 10:59 0 win8.tmp
15.07.2007 10:57 0 win3.tmp
15.07.2007 10:55 0 win2.tmp
15.07.2007 10:53 0 win1.tmp
15.07.2007 10:43 12.288 1438625.exe


Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.05.2007 16:39 65 desktop.ini
(einzigster Eintrag aus diesem Jahr)


Verzeichnis von C:\

16.07.2007 18:12 0 sys.txt
16.07.2007 18:11 539 down.txt
16.07.2007 18:10 9.298 tmp.txt
16.07.2007 18:10 15.716 system.txt
16.07.2007 18:09 3.631 systemtemp.txt
16.07.2007 18:02 119.397 system32.txt
16.07.2007 17:40 2.145.386.496 pagefile.sys
15.07.2007 10:57 9.751 VundoFix.txt
01.07.2007 19:10 243 boot.ini
24.05.2007 20:16 87 AUTOEXEC.BAT

Dein Systemverzeichnis beheimatet eine Reihe von Schädlingen. Lass bitte das Script datfind.bat abermals laufen - nur der Inhalt des ersten LogFiles ist nun von Interesse. Reich bitte die Einträge für zwei Monate vor dem 15.06.2007 nach (also zurückgehend bis zum 15.04.2007).

Verzeichnis von C:\WINDOWS\system32

15.06.2007 01:21 22.016 winhld32.dll
31.05.2007 19:30 266.088 xactengine2_8.dll
31.05.2007 19:29 18.280 x3daudio1_2.dll
31.05.2007 08:45 4.816 divxsm.tlb
31.05.2007 08:45 524.288 DivXsm.exe
31.05.2007 08:44 823.296 divx_xx07.dll
31.05.2007 08:44 823.296 divx_xx0c.dll
31.05.2007 08:44 802.816 divx_xx11.dll
31.05.2007 08:44 740.442 DivX.dll
31.05.2007 08:44 638.976 divxdec.ax
24.05.2007 18:42 664 d3d9caps.dat
16.05.2007 17:11 683.520 inetcomm.dll
16.05.2007 16:45 443.752 d3dx10_34.dll
16.05.2007 16:45 1.124.720 D3DCompiler_34.dll
16.05.2007 16:45 3.497.832 d3dx9_34.dll
15.05.2007 11:38 155.648 libssl32.dll
08.05.2007 10:59 3.583.488 mshtml.dll
07.05.2007 09:32 4.254 jupdate-1.6.0_01-b06.log
06.05.2007 19:22 219.648 uxtheme.dll
06.05.2007 17:58 16.832 amcompat.tlb
06.05.2007 17:58 23.392 nscompat.tlb
06.05.2007 17:13 48.776 S32EVNT1.DLL
06.05.2007 13:15 122.062 TZLog.log
06.05.2007 12:42 13.646 wpa.bak
05.05.2007 21:53 146.650 BuzzingBee.wav
05.05.2007 21:53 940.794 LoopyMusic.wav
05.05.2007 21:06 269 spupdwxp.log
05.05.2007 17:36 0 h323log.txt
05.05.2007 16:45 25.065 wmpscheme.xml
05.05.2007 16:41 324 $winnt$.inf
05.05.2007 16:40 2.951 CONFIG.NT
05.05.2007 16:39 488 WindowsLogon.manifest
05.05.2007 16:39 488 logonui.exe.manifest
05.05.2007 16:39 749 ncpa.cpl.manifest
05.05.2007 16:39 749 wuaucpl.cpl.manifest
05.05.2007 16:39 749 nwc.cpl.manifest
05.05.2007 16:39 749 sapi.cpl.manifest
05.05.2007 16:39 749 cdplayer.exe.manifest
05.05.2007 16:38 21.740 emptyregdb.dat
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 09:42 822.784 wininet.dll
25.04.2007 09:42 232.960 webcheck.dll
25.04.2007 09:42 1.152.000 urlmon.dll
25.04.2007 09:42 105.984 url.dll
25.04.2007 09:42 670.720 mstime.dll
25.04.2007 09:42 102.400 occache.dll
25.04.2007 09:42 193.024 msrating.dll
25.04.2007 09:42 477.696 mshtmled.dll
25.04.2007 09:41 459.264 msfeeds.dll
25.04.2007 09:41 52.224 msfeedsbs.dll
25.04.2007 09:41 1.824.768 inetcpl.cpl
25.04.2007 09:41 27.648 jsproxy.dll
25.04.2007 09:41 267.776 iertutil.dll
25.04.2007 09:41 6.058.496 ieframe.dll
25.04.2007 09:41 44.544 iernonce.dll
25.04.2007 09:41 384.512 iedkcs32.dll
25.04.2007 09:41 383.488 ieapfltr.dll
25.04.2007 09:41 153.088 ieakeng.dll
25.04.2007 09:41 124.928 advpack.dll
25.04.2007 09:41 230.400 ieaksie.dll
25.04.2007 09:41 132.608 extmgr.dll
24.04.2007 16:26 13.824 ieudinit.exe
24.04.2007 11:58 56.832 ie4uinit.exe
24.04.2007 11:32 1.485.696 LegitCheckControl.dll
24.04.2007 09:34 161.792 ieakui.dll
23.04.2007 02:15 10.152 dsm_de.qm
23.04.2007 02:15 3.596.288 qt-dx331.dll
23.04.2007 02:15 183.032 pxmas.dll
23.04.2007 02:15 72.440 pxhpinst.exe
23.04.2007 02:15 379.640 pxwave.dll
23.04.2007 02:15 502.520 pxdrv.dll
23.04.2007 02:15 1.329.912 pxsfs.dll
23.04.2007 02:15 116.472 pxcpyi64.exe
23.04.2007 02:15 118.520 pxinsi64.exe
23.04.2007 02:15 527.096 px.dll
23.04.2007 02:15 64.760 pxcpya64.exe
23.04.2007 02:15 64.760 pxinsa64.exe
23.04.2007 02:15 129.784 pxafs.dll
23.04.2007 02:15 39.672 vxblock.dll
23.04.2007 02:15 1.044.480 libdivx.dll
23.04.2007 02:15 200.704 ssldivx.dll
23.04.2007 02:02 73.728 dpl100.dll
23.04.2007 02:02 196.608 dtu100.dll
23.04.2007 02:02 53.248 dpuGUI10.dll
23.04.2007 02:02 593.920 dpuGUI11.dll
23.04.2007 02:02 344.064 dpus11.dll
23.04.2007 02:02 57.344 dpv11.dll
23.04.2007 02:02 294.912 dpu11.dll
23.04.2007 02:02 294.912 dpu10.dll
23.04.2007 02:02 352.401 DivXMedia.ax
23.04.2007 02:01 12.288 DivXWMPExtType.dll
23.04.2007 02:01 124.472 DivXCodecUpdateChecker.exe
23.04.2007 02:01 8.523 dpude.qm
23.04.2007 02:01 3.136 dtu_de.qm
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 22:44 271.224 mucltui.dll
16.04.2007 22:44 208.248 muweb.dll
16.04.2007 22:44 30.072 mucltui.dll.mui
16.04.2007 17:53 1.058.304 kernel32.dll
05.04.2007 17:19 6.221.824 ImageMagickObject.dll

neues HiackThis-LogFile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:21, on 16.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 w*w.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Flashget] C:\Programme\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Ioi?aaeou a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178387121280
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178387110748
O17 - HKLM\System\CCS\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer = 217.237.149.205 217.237.151.51
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10976 bytes

Gut soweit - ich poste gleich eine Zusammenfassung.

Was macht derweil der Blacklight-Scan? Läuft er schon?

Blacklight-Scan ist gerade fertig geworden.
Ich schreibe einach alles was da steht:

Scan targets:
Hidden processes
Hidden files and folders

Status:
Scan complete.
No hidden items found.

Er hat noch auf dem Desktop eine Textdatei erstellt "fsbl-20070716170641" . Drine ist:
07/16/07 19:06:41 [Info]: BlackLight Engine 1.0.64 initialized
07/16/07 19:06:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/16/07 19:06:41 [Note]: 7019 4
07/16/07 19:06:41 [Note]: 7005 0
07/16/07 19:06:46 [Note]: 7006 0
07/16/07 19:06:47 [Note]: 7011 3192
07/16/07 19:06:47 [Note]: 7026 0
07/16/07 19:06:47 [Note]: 7026 0
07/16/07 19:06:50 [Note]: FSRAW library version 1.7.1022
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012
07/16/07 19:18:30 [Note]: 2000 1012

Keine Ahnung ,ob das wichtig ist

Ich muss leider gerade weg. Geh am besten offline und schau dann so in einer Stunde gegen viertel vor Neun noch einmal hier in diesen Thread!

ok, gut
danke

Prüf bitte diese Dateien bei virustotal:

Scan von Virustotal

File winhld32.dll received on 07.17.2007 07:49:56 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 Win-Trojan/Dialer.22016.E
AntiVir 7.4.0.42 2007.07.16 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.07.17 no virus found
Avast 4.7.997.0 2007.07.16 Win32:Dialer-988
AVG 7.5.0.476 2007.07.16 Dialer.FHB
BitDefender 7.2 2007.07.17 Trojan.Downloader.Agent.BGY
CAT-QuickHeal 9.00 2007.07.16 Trojan.Dialer.qn
ClamAV devel-20070416 2007.07.17 Dialer-957
DrWeb 4.33 2007.07.16 Trojan.Mezzia
eSafe 7.0.15.0 2007.07.16 Win32.Dialer.qn
eTrust-Vet 30.8.3788 2007.07.16 Win32/Nebuler.BJ
Ewido 4.0 2007.07.16 Trojan.Dialer.qn
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 W32/BDoor.QN!tr
F-Prot 4.3.2.48 2007.07.17 no virus found
Ikarus T3.1.1.8 2007.07.17 Trojan.Win32.Agent.qt
Kaspersky 4.0.2.24 2007.07.17 Trojan.Win32.Dialer.qn
McAfee 5075 2007.07.16 BackDoor-CVT
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2401 2007.07.17 Win32/Dialer.NDA
Norman 5.80.02 2007.07.16 W32/Dialer.BGSD
Panda 9.0.0.4 2007.07.16 Generic Malware
Sophos 4.19.0 2007.07.16 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.07.16 VIPRE.Suspicious
Symantec 10 2007.07.17 Dialer.Generic
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 Trojan.Win32.Dialer.qn
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Crypt.PEC2X.Gen
Aditional information
File size: 22016 bytes


C:\WINDOWS\system32\tttss.tmp - gestern gelöscht (Vundofix)


File vtusqqn.dll received on 07.17.2007 09:35:43 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 no virus found
AntiVir 7.4.0.42 2007.07.17 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.07.17 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 Lop.CH
BitDefender 7.2 2007.07.17 MemScan:Adware.Virtumonde.GFH
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.17 no virus found
DrWeb 4.33 2007.07.17 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.16 Suspicious Trojan/Worm
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
Ikarus T3.1.1.8 2007.07.17 Trojan-PWS.OnlineGames.AYD
Kaspersky 4.0.2.24 2007.07.17 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2401 2007.07.17 no virus found
Norman 5.80.02 2007.07.16 W32/Virtumonde.dam
Panda 9.0.0.4 2007.07.16 Spyware/Virtumonde
Sophos 4.19.0 2007.07.16 Virtumundo
Sunbelt 2.2.907.0 2007.07.16 VIPRE.Suspicious
Symantec 10 2007.07.17 no virus found
TheHacker 6.1.7.148 2007.07.16 Adware/Virtumonde.jp
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Crypt.XPACK.Gen
Aditional information
File size: 31254 bytes


File syswin6000.exe received on 07.17.2007 09:27:06 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 no virus found
AntiVir 7.4.0.42 2007.07.17 HEUR/Malware
Authentium 4.93.8 2007.07.17 no virus found
Avast 4.7.997.0 2007.07.16 Win32:Alphabet-B
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.17 MemScan:Trojan.Downloader.Alphabet.F
CAT-QuickHeal 9.00 2007.07.16 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.17 no virus found
DrWeb 4.33 2007.07.16 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.16 Suspicious Trojan/Worm
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
Ikarus T3.1.1.8 2007.07.17 no virus found
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2401 2007.07.17 a variant of Win32/TrojanDownloader.Alphabet
Norman 5.80.02 2007.07.16 W32/DLoader.CWCF.dropper
Panda 9.0.0.4 2007.07.16 no virus found
Sophos 4.19.0 2007.07.16 Troj/DwnLdr-GWB
Sunbelt 2.2.907.0 2007.07.16 VIPRE.Suspicious
Symantec 10 2007.07.17 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 suspected of Embedded.Trojan-Downloader.Win32.Alphabet.b
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Heuristic.Malware
Aditional information
File size: 28672 bytes


File jkkjhgd.dll received on 07.17.2007 09:33:36 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 no virus found
AntiVir 7.4.0.42 2007.07.17 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.07.17 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.17 Adware.Virtumonde.GFQ
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.17 no virus found
DrWeb 4.33 2007.07.17 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.16 Suspicious Trojan/Worm
eTrust-Vet 30.8.3788 2007.07.16 no virus found
Ewido 4.0 2007.07.16 Adware.Virtumonde
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
Ikarus T3.1.1.8 2007.07.17 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.07.17 not-a-virus:AdWare.Win32.Virtumonde.bq
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2401 2007.07.17 no virus found
Norman 5.80.02 2007.07.16 W32/Virtumonde.dam
Panda 9.0.0.4 2007.07.16 Suspicious file
Sophos 4.19.0 2007.07.16 Virtumundo
Sunbelt 2.2.907.0 2007.07.16 VIPRE.Suspicious
Symantec 10 2007.07.17 Trojan.Vundo
TheHacker 6.1.7.148 2007.07.16 Adware/Virtumonde.bq
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Crypt.XPACK.Gen
Aditional information
File size: 31254 bytes


C:\WINDOWS\system32\ssttt.dll - gestern gelöscht (Vundofix)


File 1438625.exe received on 07.17.2007 10:18:33 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 no virus found
AntiVir 7.4.0.42 2007.07.17 TR/Dldr.Agent.11776
Authentium 4.93.8 2007.07.17 W32/Downloader2.AJVV
Avast 4.7.997.0 2007.07.16 Win32:Alphabet-C
AVG 7.5.0.476 2007.07.16 Clicker.GNS
BitDefender 7.2 2007.07.17 Generic.Dld.Alpha.EB472BE2
CAT-QuickHeal 9.00 2007.07.16 TrojanDownloader.Agent.gen
ClamAV devel-20070416 2007.07.17 no virus found
DrWeb 4.33 2007.07.17 Trojan.DownLoader.25873
eSafe 7.0.15.0 2007.07.16 Suspicious Trojan/Worm
eTrust-Vet 30.8.3789 2007.07.17 Win32/Kastem.AE
Ewido 4.0 2007.07.16 Downloader.Alphabet.h
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 Nonaco!tr
F-Prot 4.3.2.48 2007.07.17 W32/Downloader2.AJVV
Ikarus T3.1.1.8 2007.07.17 Trojan-Clicker.Win32.Agent.jb
Kaspersky 4.0.2.24 2007.07.17 Trojan-Downloader.Win32.Alphabet.h
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.17 TrojanDownloader:Win32/Small.gen!F
NOD32v2 2401 2007.07.17 probably a variant of Win32/TrojanClicker.Agent.NBS
Norman 5.80.02 2007.07.16 no virus found
Panda 9.0.0.4 2007.07.16 Adware/Antivirus-gold
Sophos 4.19.0 2007.07.16 Troj/Nonaco-Gen
Sunbelt 2.2.907.0 2007.07.16 Trojan-Downloader.Win32.Small.gen!F
Symantec 10 2007.07.17 Downloader
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Dldr.Agent.11776
Aditional information
File size: 12288 bytes

Ich habe schon den Eindruck, dass in jeder beliebiger Datei ein Virus ist :mad:

1.) Wenn möglich, alle diese Dateien in einen Ordner und dann wie gehabt zu einem Quarantänearchiv packen, einsenden an virus@sicher-ins-netzi.info - Danke

2.) Die im "Code"-Feld meines letzten Postings genannten Dateien in einem Schwung wie bereits bekannt über Killbox löschen lassen (inkl. Rechnerneustart).

3.) Erstell und poste sodann ein neues datfind-logfile (zunächst wieder nur das erste).

Die Dateien habe ich abgeschickt.
Löschen kann ich die aber nicht.
KillBox gibt die Meldung "PeningFile Rename Operations Registry Data has been Removed dy xternal Process!"
Ich weis nicht genau was das bedeutet, habe versucht Killbox neu zu downloaden, das Problem besteht aber immer noch. Was kann ich dann tun?

Führe diesesn Löschvorgang mit Killbox durch, wenn die Fehlermeldung erschienen ist, starte Windows selbst neu.

Poste dann das besagte erste datfind-LogFile.

Die Mail kam noch nicht an.
Versieh das Archiv bitte mit einem Passwort (Du kannst das bestehende Archiv abermals packen, dabei über das Packprogramm ein Passwort vergeben, z.B. virus. Versende den Anhang dann erneut.

ich habe Dateien nochmal versendet.
Löschung mit Killbox ist trotzdem unmöglich. Nach dem diese meldung erschien habe ich (einmal ohne und einmalh mit sie zu schließen) selber computer neugestartet. Es komm dann aber meldung von KilBox "Cannot qiet" die dann mit "Programm Sofort beenden" doch geschlossen wird. Die Dateien bleiben aber nach dem Neustarten da wo sie waren. Gibts es vielleich ein anderes Programm womit ich sie löschen könnte?

Ich danke dir vielmals für die Geduld und Hilfe
Tanja

Geht gleich weiter ...

1.) Lade Dir von hier dallater.zip.

2.) Speichere die Datei in den eigens dafür neu erstellten Ordner "dellater" unter C:\ ab, also im Ordner C:\dellater.

3.) Entpacke das zip-Archiv unmittelbar in diesem Ordner - darin muss sich danach auch die dellater.exe befinden.

4.) Klick nun unten in der Taskleiste auf "Start", dann "Ausführen".

5.) Gib in das Ausführen-Feld ein: cmd
Drück im Anschluss die Enter-Taste (oder Klick auf "OK", das kommt auf's Gleiche raus).

6.) Es öffnet sich ein schwarzes Eingabefenster mit blauem oberen Rand. Der Cursor darin blinkt hinter dem Benutzernamen, mit dem Du angemeldet bist. Sieht dann so aus:
7.) Hinter der Spitzklammer gib ein:
Drück die Enter-Taste.

8.) Die Eingabe wechselt in die nächste Zeile zu:
9.) Trage hinter der Spitzklammer ein:
[Hinweis zur Orientierung: Die gesamte Zeile von links nach rechts sieht dann so aus:]
Drücke sodann die Enter-Taste. Es erscheint daraufhin ein kleines Meldungsfenster mit dem Titel "File marked for deletion after reboot". Bestätige mit Klick auf "OK".

10.) Im schwarzen Eingabefenster steht der Cursor nun wieder hinter "C:\dellater>". Schreibe dahinter nun das:
Bestätige wie gehabt mit Enter und OK.

11.) Gib wieder etwas hinter "C:\dellater>" ein, dieses Mal das:
Und erneut Enter und OK.

12.) Jetzt trag dahinter ein:
Und abermals mit Enter und OK abschließen.

13.) Nun hinter der Spitzklammer eintragen:
Erneut mit Enter und OK abschließen.

14.) Dieses Mal ist dieser Eintrag dran:
Abermals Enter und OK.

15.) Abschließend dieser Eintrag:
Und noch ein letztes Mal Enter plus OK.

Schließ nun das schwarze Eingabefenster durch Klick auf das "X" oben rechts in der Fensterecke. Starte das System neu und poste ein neues erstes datfind-Logfile.

Habe alles so wie beschrieben gemacht, hier ist datfind-Logfile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 22:05 912.920 wybeg.ini
17.07.2007 22:02 355 rhieaook.ini
17.07.2007 22:02 88.566 nvapps.xml
17.07.2007 22:02 13.646 wpa.dbl
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe
17.07.2007 21:29 905.684 wybeg.bak2
17.07.2007 21:21 52.764 perfc009.dat
17.07.2007 21:21 380.350 perfh009.dat
17.07.2007 21:21 390.960 perfh007.dat
17.07.2007 21:21 63.576 perfc007.dat
17.07.2007 21:21 897.954 PerfStringBackup.INI
17.07.2007 07:50 6.369 wybeg.bak1
17.07.2007 07:50 266.336 gebyw.dll


Verzeichnis von C:\DOKUME~1\remik\LOKALE~1\Temp

17.07.2007 22:07 3.633 jusched.log
17.07.2007 18:55 1.460 dw.log
17.07.2007 18:16 16.384 ~DF6847.tmp
17.07.2007 17:58 16.384 ~DF16C1.tmp
17.07.2007 10:54 416 java_install_reg.log
17.07.2007 10:22 1.062 mad.gif
17.07.2007 10:22 1.060 icon8.gif
16.07.2007 19:56 32.768 ~DF25F2.tmp
16.07.2007 19:51 32.768 ~DF1E9B.tmp
16.07.2007 19:36 32.768 ~DF3818.tmp
16.07.2007 19:32 32.768 ~DF7FDB.tmp
16.07.2007 18:48 114.688 ~DF87B6.tmp


Verzeichnis von C:\WINDOWS

17.07.2007 22:04 3.221.196 ntbtlog.txt
17.07.2007 22:02 0 0.log
17.07.2007 22:01 157 wiadebug.log
17.07.2007 22:01 50 wiaservc.log
17.07.2007 22:01 2.048 bootstat.dat
17.07.2007 22:00 1.769.599 WindowsUpdate.log
17.07.2007 22:00 32.566 SchedLgU.Txt


Verzeichnis von C:\WINDOWS\Temp

17.07.2007 22:07 0 win118.tmp
17.07.2007 22:07 0 win11A.tmp
17.07.2007 22:07 0 win119.tmp
17.07.2007 22:07 0 win116.tmp
17.07.2007 22:07 0 win117.tmp
17.07.2007 22:05 0 win115.tmp
17.07.2007 22:05 0 win114.tmp
17.07.2007 22:05 0 win113.tmp
17.07.2007 22:05 0 win110.tmp
17.07.2007 22:05 0 win111.tmp
17.07.2007 22:03 0 win10F.tmp
17.07.2007 22:03 0 win10E.tmp
17.07.2007 22:03 0 win10D.tmp
17.07.2007 22:03 0 win10B.tmp
17.07.2007 22:03 0 win10C.tmp
17.07.2007 22:02 409 WGANotify.settings
17.07.2007 22:02 255 WGAErrLog.txt
17.07.2007 22:01 0 win109.tmp
17.07.2007 22:01 0 win10A.tmp
17.07.2007 22:01 0 win108.tmp
17.07.2007 22:01 0 win107.tmp
17.07.2007 22:01 0 win106.tmp
17.07.2007 14:17 0 win112.tmp
17.07.2007 13:55 0 win105.tmp
17.07.2007 13:53 1.315 win103.tmp
17.07.2007 13:53 0 win104.tmp
17.07.2007 13:51 0 win102.tmp
17.07.2007 13:51 0 win101.tmp
17.07.2007 13:51 0 winFF.tmp
17.07.2007 13:51 0 winFE.tmp
17.07.2007 13:51 0 winFD.tmp
17.07.2007 13:49 0 winFC.tmp
17.07.2007 13:49 0 winF1.tmp
17.07.2007 13:49 0 winF2.tmp
17.07.2007 13:49 0 winEF.tmp
17.07.2007 13:49 0 winF0.tmp
17.07.2007 13:47 0 winED.tmp
17.07.2007 13:47 0 winEC.tmp
17.07.2007 13:47 0 winEB.tmp
17.07.2007 13:47 0 winEA.tmp
17.07.2007 13:47 0 winE9.tmp
17.07.2007 11:19 0 win18F.tmp
17.07.2007 10:57 0 win131.tmp
17.07.2007 10:35 0 win100.tmp
17.07.2007 10:17 0 winFB.tmp
17.07.2007 10:17 0 winFA.tmp
17.07.2007 10:17 0 winF9.tmp
17.07.2007 10:17 0 winF8.tmp
17.07.2007 10:15 0 winF7.tmp
17.07.2007 10:15 0 winF6.tmp
17.07.2007 10:15 0 winF3.tmp
17.07.2007 10:15 0 winF4.tmp
17.07.2007 10:15 0 winF5.tmp
17.07.2007 09:26 0 winEE.tmp
17.07.2007 07:54 0 winE8.tmp
17.07.2007 07:52 0 winE7.tmp
17.07.2007 07:49 0 winE6.tmp
17.07.2007 07:47 0 winE5.tmp
17.07.2007 07:47 1.315 winE4.tmp
17.07.2007 07:45 0 winE3.tmp
17.07.2007 07:45 0 winE2.tmp
17.07.2007 07:45 0 winE0.tmp
17.07.2007 07:45 0 winDF.tmp
17.07.2007 07:45 0 winDE.tmp
16.07.2007 19:59 0 winDD.tmp
16.07.2007 19:55 0 winD4.tmp
16.07.2007 19:53 0 winDC.tmp
16.07.2007 19:52 0 winDB.tmp
16.07.2007 19:51 0 winD5.tmp
16.07.2007 19:50 0 winD3.tmp
16.07.2007 19:49 0 winD2.tmp
16.07.2007 19:48 0 winD1.tmp
16.07.2007 19:47 0 winD0.tmp
16.07.2007 19:43 1.315 winCA.tmp
16.07.2007 19:41 0 winC9.tmp
16.07.2007 19:41 0 winBD.tmp
16.07.2007 19:41 0 winBB.tmp
16.07.2007 19:41 0 winBC.tmp
16.07.2007 19:39 0 winBA.tmp
16.07.2007 19:39 0 winB9.tmp
16.07.2007 19:39 0 winB6.tmp
16.07.2007 19:39 0 winB5.tmp
16.07.2007 19:36 0 winB4.tmp
16.07.2007 19:36 0 winB2.tmp
16.07.2007 19:36 0 winB3.tmp
16.07.2007 19:36 0 winB1.tmp
16.07.2007 19:26 0 winB8.tmp
16.07.2007 19:04 0 winB0.tmp
16.07.2007 19:02 0 winAF.tmp
16.07.2007 19:00 0 winAD.tmp
16.07.2007 18:58 0 winAC.tmp
16.07.2007 18:56 0 winAB.tmp
16.07.2007 18:34 0 winAA.tmp
16.07.2007 18:33 0 winAE.tmp
16.07.2007 18:12 0 winA9.tmp
16.07.2007 18:11 0 winA7.tmp
16.07.2007 17:50 0 winA6.tmp
16.07.2007 17:48 0 winA5.tmp
16.07.2007 17:46 0 winA3.tmp
16.07.2007 17:44 0 winA2.tmp
16.07.2007 17:42 0 win9A.tmp
16.07.2007 17:35 0 winCE.tmp
16.07.2007 17:35 0 winCD.tmp
16.07.2007 17:35 0 winCC.tmp
16.07.2007 17:35 0 winCB.tmp
16.07.2007 17:21 0 winC8.tmp
16.07.2007 16:59 0 winA8.tmp
16.07.2007 16:39 0 winA4.tmp
16.07.2007 15:37 0 winA1.tmp
16.07.2007 15:35 0 winA0.tmp
16.07.2007 15:33 0 win9F.tmp
16.07.2007 15:33 0 win9E.tmp
16.07.2007 15:33 0 win9B.tmp
16.07.2007 15:33 0 win9C.tmp
16.07.2007 15:33 0 win9D.tmp
16.07.2007 15:31 0 win97.tmp
16.07.2007 15:31 0 win96.tmp
16.07.2007 15:31 0 win98.tmp
16.07.2007 15:31 0 win99.tmp
16.07.2007 15:31 0 win95.tmp
16.07.2007 15:30 0 win92.tmp
16.07.2007 15:30 0 win94.tmp
16.07.2007 15:30 0 win93.tmp
16.07.2007 15:30 0 win91.tmp
16.07.2007 15:30 0 win90.tmp
16.07.2007 15:29 0 win8F.tmp
16.07.2007 15:29 0 win8E.tmp
16.07.2007 15:29 0 win8C.tmp
16.07.2007 15:29 0 win8B.tmp
16.07.2007 15:29 0 win8A.tmp
16.07.2007 15:29 0 win81.tmp
16.07.2007 15:29 0 win89.tmp
16.07.2007 15:29 0 win88.tmp
16.07.2007 15:29 0 win80.tmp
16.07.2007 15:29 0 win76.tmp
16.07.2007 15:26 0 win7F.tmp
16.07.2007 15:26 0 win7E.tmp
16.07.2007 15:26 0 win7B.tmp
16.07.2007 15:26 0 win79.tmp
16.07.2007 15:26 0 win7A.tmp
16.07.2007 15:24 0 win75.tmp
16.07.2007 15:24 0 win74.tmp
16.07.2007 15:24 0 win72.tmp
16.07.2007 15:24 0 win70.tmp
16.07.2007 15:24 0 win71.tmp
16.07.2007 10:20 0 win87.tmp
16.07.2007 10:18 0 win7C.tmp
16.07.2007 10:16 0 win77.tmp
16.07.2007 10:14 0 win6F.tmp
16.07.2007 10:12 0 win6D.tmp
16.07.2007 08:54 0 win6C.tmp
16.07.2007 08:52 0 win66.tmp
16.07.2007 08:52 0 win6A.tmp
16.07.2007 08:52 0 win6B.tmp
16.07.2007 08:52 0 win68.tmp
16.07.2007 08:52 0 win69.tmp
16.07.2007 08:50 0 win63.tmp
16.07.2007 08:50 0 win64.tmp
16.07.2007 08:50 0 win60.tmp
16.07.2007 08:50 0 win62.tmp
16.07.2007 08:50 0 win61.tmp
16.07.2007 08:48 0 win5D.tmp
16.07.2007 08:48 0 win5E.tmp
16.07.2007 08:48 0 win5F.tmp
16.07.2007 08:48 0 win5C.tmp
16.07.2007 08:48 0 win5B.tmp
16.07.2007 08:46 0 win4A.tmp
16.07.2007 08:46 0 win13.tmp
16.07.2007 08:46 0 win12.tmp
16.07.2007 08:46 0 win5.tmp
16.07.2007 08:46 0 win4.tmp
16.07.2007 00:51 0 win37.tmp
16.07.2007 00:49 0 win1B.tmp
16.07.2007 00:47 0 win10.tmp
16.07.2007 00:45 0 winF.tmp
16.07.2007 00:43 0 winD.tmp
16.07.2007 00:21 0 win65.tmp


Verzeichnis von C:\WINDOWS\Downloaded Program Files

05.05.2007 16:39 65 desktop.ini


Verzeichnis von C:\

17.07.2007 22:09 0 sys.txt
17.07.2007 22:09 539 down.txt
17.07.2007 22:08 13.745 tmp.txt
17.07.2007 22:08 15.716 system.txt
17.07.2007 22:07 4.066 systemtemp.txt
17.07.2007 22:05 119.596 system32.txt
17.07.2007 22:01 2.145.386.496 pagefile.sys
16.07.2007 19:57 11.231 VundoFix.txt

ich habe nur die Einträge von beiden letzten Tagen genommen

Bitte die dellater-Anleitung wieder bis Punkt 8 umsetzen.
Dann hinter der Spitzklammer dieses eintragen:

dellater.exe C:\WINDOWS\system32\kooaeihr.dll
Dann Enter und OK.

Dann das:
dellater.exe C:\WINDOWS\system32\ihrbtwgq.exe
Wieder Enter und OK.

Als nächstes das:
dellater.exe C:\WINDOWS\system32\gebyw.dll
Enter plus OK.

Nun dies:
dellater.exe C:\WINDOWS\system32\wybeg.bak1
Enter und OK.

Abschließend das:
dellater.exe C:\WINDOWS\system32\wybeg.bak2
Enter, OK.

Anschließend System neustarten, neues erstes Datfind-Logfile posten.

Sorry, vergessen:

Bitte für diese beiden Einträge nacheinander auch nochmal so verfahren wie gehabt (Dellater-Vorgehen):

dellater.exe C:\WINDOWS\system32\wybeg.ini
dellater.exe C:\WINDOWS\system32\rhieaook.ini

Trenne am besten während der oben geschildertern Maßnahmen die Internetverbindung!
Melde Dich nach dem Neustart - wie bereits geschrieben - mit dem neuen LogFile (datfind) hier.

Danach setze bitte das Folgende um:
SmitFraudFix

neue LogFile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 22:40 346 wybeg.ini
17.07.2007 22:39 295 rhieaook.ini
17.07.2007 22:39 88.566 nvapps.xml
17.07.2007 22:39 13.646 wpa.dbl
17.07.2007 22:35 390.960 perfh007.dat
17.07.2007 22:35 52.764 perfc009.dat
17.07.2007 22:35 380.350 perfh009.dat
17.07.2007 22:35 63.576 perfc007.dat
17.07.2007 22:35 897.954 PerfStringBackup.INI
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe

Bei dieser erheblichen Menge an Funden die die Onlinevirenscanner aufweisen (Insofern jene richtig sind) bringt doch die manuelle entfernung mit etwaigen tools und scanns nichts mehr, da sollte eine Neuaufsetzung erfolgen und dannach sollte das aktuellste Service-Pack installiert werden und das System mit den aktuellsten AV updates gesichert werden.


Es wäre sonst ein ziemlich langwieriger Prozess, dies alles manuell zu entfernen. Dazu kommt, dass man sich nicht sicher sein kann inwiefern und in welchen registry schlüsseln was und wieviele schädliche Einträge sind. Zwar kann man mit escan versuchen das Problem in den Griff zu bekommen, doch meiner Meinung nach bleibt dannach dennoch die Frage ob das System volkommen sicher ist.


Deshalb mein Rat: Setze dein System neu auf, aktuallisiere es durch das neueste Service-Pack und dessen updates die du auf der microsoft Seite finden kannst:

Service-Packs Aktuelle Updates


Lg Terayaki

ich habe SmitFraudFix auf infizierte Dateien suchen lassen. Was mache ich weiter? Reinigen mit SmitFraudFix?

um Neuaufsetzen komme ich sowieso nicht herum....das mache ich dann auch

Das beruhigt mich ja dann;) Es ist bei einer solchen Anzahl an Funden immer das beste und falls du ein oder mehrere Backdoors drauf hast ist es notwendig.

Nun gut dann will ich euer Programm nicht weiters stören;)


LG, Terayaki

Das ist mir auch klar - ich hatte darauf ja bereits hingewiesen. Allerdings ist es ebenso problematisch, wenn man sich über das infizierte System weiterhin zunächst Informationen aus dem Internet holt, während im Hintergrund fleißig Malware ihr Unwesen treibt. Insofern ist eine Ferndiagnose und "Onlinehilfe" mit einem infizierten System immer ein Drahtseilakt. Am allerbesten wäre es, das System würde sofort nach einer Infektion vom Internet getrennt werden. Dann aber wird es in der Regel kaum möglich sein, betroffene Nutzer aus der Ferne über das Internet "weiterzubetreuen".

Dem stimme zu, völlig richtig.

Poste ruhig erst den Report aus Punkt 1 (siehe Smitfraudfix-Anleitung).

Teile deine Meinung völlig ;)

Wollte ja nur darauf nochmals hinweisen:)








LG, Terayaki

Das ist der Rapport
SmitFraudFix v2.204

Scan done at 22:45:13,65, 17.07.2007
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.149.205
DNS Server Search Order: 217.237.151.51

HKLM\SYSTEM\CCS\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer=217.237.149.205 217.237.151.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{889C8186-AEF9-417C-9BBC-6B9FD667FD89}: NameServer=217.237.149.205 217.237.151.51


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

und was jetzt?

Einen Versuch noch auf diesem Wege:

Starte HijackThis. Wähle jedoch "Open the Misc Tools section". Dort findest Du ca. mittig den Button "Delete a file on reboot". Klick nachher, wenn ich es schreibe, darauf, und wähle dann nacheinander die genannten Dateien aus. Nach jeder einzelnen Auswahl kommt die Frage nach dem Neustart - wähle dabei zunächst "Nein", bis Du die letzte Datei ausgewählt hattest. Klick erst dann auf "Ja", damit das System neu startet.

Ich schreibe das ankündigend, weil Du das offline umsetzen sollst.

Poste jetzt bitte noch einmal ein aktuelles datfind-LogFile. Ich lese das dann sofort und nenne Dir die Dateien, die Du mit HijackThis auswählen sollst. Sobald ich das Posting geschrieben habe und Du es liest, gehst Du offline und setzt die Geschichte mit HijackThis um. Soweit verständlich?

soweit klar, hier ist neu logfile

Verzeichnis von C:\WINDOWS\system32

17.07.2007 23:27 17.757 wybeg.ini
17.07.2007 22:45 3.650 tmp.reg
17.07.2007 22:45 0 tmp.txt
17.07.2007 22:43 380.350 perfh009.dat
17.07.2007 22:43 52.764 perfc009.dat
17.07.2007 22:43 390.960 perfh007.dat
17.07.2007 22:43 63.576 perfc007.dat
17.07.2007 22:43 897.954 PerfStringBackup.INI
17.07.2007 22:39 295 rhieaook.ini
17.07.2007 22:39 88.566 nvapps.xml
17.07.2007 22:39 13.646 wpa.dbl
17.07.2007 21:29 128.576 kooaeihr.dll
17.07.2007 21:29 66.112 ihrbtwgq.exe
17.07.2007 07:50 266.336 gebyw.dll

Bitte diese fünf Dateien zum Löschen auswählen:

C:\WINDOWS\system32\kooaeihr.dll
C:\WINDOWS\system32\ihrbtwgq.exe
C:\WINDOWS\system32\wybeg.ini
C:\WINDOWS\system32\gebyw.dll
C:\WINDOWS\system32\rhieaook.ini

Nach dem Neustart des Systems kannst Du, ohne online zu gehen, selbst nochmal ein neues datfind-LogFile erstellen und Dir selbst anschauen. Findest Du darin auch nur eine der fünf Dateien erneut, versuche, ob Killbox weiterhin von einer Malware an der Ausführung gehindert wird. Falls nein, falls also Killbox funktioniert, lass die restlichen der genannten fünf Dateien über killbox löschen, starte neu und melde Dich dann wieder hier.

Solltest Du bereits mit HijackThis Erfolg gehabt haben oder falls es mit Killbox nicht funktioniert, melde Dich dennoch wieder hier. ;)

ok, ich versuche :;):

Also..
Geschichte mit HijackThis funktioniert nicht . Nachdem ich "Delete a file on reboot" klicke verschwindet HijackThis ganz.
Dann habe ich mit KillBox. Einige Dateien konnte ich entfernen. gebyw.dll und wybeg.ini aber nicht. Dieser wybeg.ini wird glaube ich nach der entfernung wiederherstellt, denn einmahl hat ihn killbox gelscht und promt war er wieder da. die Datei wybeg.bak1 habe ich aber schon entfernt

neus logfile
Verzeichnis von C:\WINDOWS\system32

18.07.2007 00:22 538 wybeg.ini
18.07.2007 00:19 595 wgpkqnio.ini
18.07.2007 00:19 88.566 nvapps.xml
18.07.2007 00:19 13.646 wpa.dbl
18.07.2007 00:11 380.350 perfh009.dat
18.07.2007 00:11 52.764 perfc009.dat
18.07.2007 00:11 390.960 perfh007.dat
18.07.2007 00:11 63.576 perfc007.dat
18.07.2007 00:11 897.954 PerfStringBackup.INI
18.07.2007 00:04 128.576 oinqkpgw.dll
18.07.2007 00:02 66.112 ayxyrbhb.exe
18.07.2007 00:02 355 mklhgoun.ini
17.07.2007 23:42 66.112 kpsroxbo.exe
17.07.2007 22:45 0 tmp.txt
17.07.2007 22:45 3.650 tmp.reg
17.07.2007 07:50 266.336 gebyw.dll

Was Du bräuchtest - das ohnehin sinnvoll wäre - ist eine CD, von der aus Du starten und dann entsprechende Dateien löschen kannst. Das Malheur ist im wahrsten Sinne des Wortes, dass man auf dem infizierten System Software laufen lässt, die ihrerseits von aktiver Malware manipuliert werden kann - genau das ist auch hier der Fall.

Hast Du Deine Daten, die Du behalten möchtest, beisammen? Zum Beispiel auf DVDs gebrannt?

noch nicht alle, ich werde die morgen sichern
was ist aber "eine CD, von der aus Du starten und dann entsprechende Dateien löschen kannst." ? Das ist aber nicht die WindowsXP-CD? oder?

Nein, das wäre so eine:
Bart PE - Wikipedia

Vorschlag: Widme Dich nun prioritär der Datensicherung!

ok, mache ich unbedingt
gehe erstmal schlafen

ich danke dir für alles

ich habe mich jetzt entschlossen neuaufzusetzen. Muss ich da was bestimmtes beachten? Vielleicht etwas was ich davor noch unbedingt durchführen soll?
mfg
Tanja