Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden.
 

Guten Abend.

Ich habe folgendes Problem:

Mein Anti Viren Programm AntiVir PEC erkennt seit neustem einen Trojanischen Virus. In der Meldung steht für den Virus als Bezeichnung: "TR/Injekt.KQ.1".
Gefunden wurde er laut dem Programm in dem Ordner/Programm: C:Windows/System32/cbxwuvt.dll.
AntiVir bietet mir nun an, den Virus zu löschen, ihn in Quarantäne zu setzen, ihn zu ignorieren, oder den Zugriff zu verweigern.
Alle diese Methoden, greifen bei der Bekämpfung nicht.

Nachdem ich mit Google nach dem Problem gesucht habe und mir hier diverse Beiträge durchgelesen habe, habe ich folgende Möglichkeiten durchgespielt:

1) Ich habe den Prozess "cbxwuvt.dll" beendet.
2) Ich habe versucht die Datei "cbxwuvt.dll" zu löschen.
3) Ich habe meinen PC im abgesicherten Modus gestartet und versucht, die Datei so zu löschen.

Alle diese Dinge funktionierten leider nicht.
Beim Löschen wird mir die Fehlermeldung: "Die Datei kann nicht gelöscht werden, weil ein anderes Programm auf die Datei zugreift...etc." angezeigt.

Ich habe es auch mit 2 Freeware Programmen zur Trojaner Bekämpfung versucht, leider ohne Erfolg.

Da ich auch nicht über ausreichendes Fachwissen verfüge, wende ich mich nun an Sie, mit der Bitte um einen Tipp oder eine Lösung des Problems.

Mein Betriebssystem ist Microsoft Windows XP Home Edition, mit dem Service Pack 2.

Ich hoffe ich konnte mein Problem ausreichend gut beschreiben und Sie können mir eventuell behilflich sein.

Vielen Dank im Voraus.

Mit freundlichen Grüßen
Phill

Ich möchte ja nicht unnötig Posten, jedoch ist mein Beitrag in der Versenkung verschwunden und es wäre nett wenn wenigstens einer ein Statement abgeben könnte, ich weiß wirklich nicht weiter.

Vielen Dank

Hallo

das kann leider mal passieren

Welche Programme und was wurde gemeldet?

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Lade diese Datei :
C:Windows/System32/cbxwuvt.dll
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Erstelle bitte ein Hijackthis Log
Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MFG

Erstmal vielen Dank für die Antwort.

Also habe das mal versucht, folgendes ist dabei herausgekommen:

Ich habe die Datei in allen 3 Virus Scannern die du aufgelistet hast durchlaufen lassen. Bei allen die gleiche Antwort:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file" (Resultat von Jotti)


Hier nun mein Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 17:54:24, on 25.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {162C6BC2-E852-4D45-B139-E8A6737F1054} - C:\WINDOWS\system32\cbxwuvt.dll
O2 - BHO: (no name) - {16813DBB-244A-4BB3-9A88-8052E07F2F30} - C:\WINDOWS\system32\sstqp.dll
O2 - BHO: (no name) - {27C2A29B-98F4-4C51-9BBE-3876B2DE86D2} - C:\WINDOWS\system32\sstqp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {EAE1CC4C-A42C-4BEF-9F2D-ABED61D6FE0E} - C:\WINDOWS\system32\qdv32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ACROMOUSE] C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{2ED695AD-D37A-4B6A-99B3-BB27496D3A47}: NameServer = 89.246.64.8 62.220.18.8
O20 - Winlogon Notify: cbxwuvt - C:\WINDOWS\SYSTEM32\cbxwuvt.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Das wars...hoffe das hilft uns weiter.

MFG

Hallo

das klingt schonmal nicht so gut.
Da scheint einiges im System zu stecken.

Bitte diese Programme durchackern

Escan - Silentrunners - Combofix

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Poste anschließend bitte die Logs

MFG

Okay hier die Logs:

Combofixlog:

ComboFix 07-11-19.3 - *** 2007-11-25 21:28:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.288 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\pqtss.bak1
C:\WINDOWS\system32\pqtss.bak2
C:\WINDOWS\system32\pqtss.ini
C:\WINDOWS\system32\sstqp.dll
C:\WINDOWS\system32\SysPr.prx
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-25 bis 2007-11-25 ))))))))))))))))))))))))))))))
.

2007-11-25 19:23 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-25 19:23 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-25 19:23 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-25 19:23 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-25 19:21 153,600 --a------ C:\WINDOWS\R.COM
2007-11-22 19:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-22 19:30 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-11-22 19:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-22 19:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-22 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-22 19:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-22 19:30 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-22 19:14 <DIR> d-------- C:\Programme\Trojancheck 6
2007-11-19 19:24 <DIR> d-------- C:\Programme\Werner_Vol_2
2007-11-17 19:58 <DIR> d-------- C:\Programme\Nero
2007-11-17 19:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-11-17 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-11-17 19:14 36,352 --------- C:\WINDOWS\system32\cbxwuvt.dll
2007-10-28 12:56 <DIR> d-------- C:\Programme\4U Computing
2007-10-28 12:56 573,440 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2007-10-28 12:56 491,520 --a------ C:\WINDOWS\system32\NCTAudioFile.dll
2007-10-28 12:56 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-10-28 12:56 286,720 --a------ C:\WINDOWS\system32\NCTWMAFile2.dll
2007-10-28 12:56 168,448 --a------ C:\WINDOWS\system32\NCTAudioPlayer.dll
2007-10-28 12:56 143,872 --a------ C:\WINDOWS\system32\NCTWMAFile.dll
2007-10-28 12:56 120,832 --a------ C:\WINDOWS\system32\lame_enc.dll
2007-10-28 12:52 <DIR> d-------- C:\Programme\Illustrate
2007-10-28 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\AccurateRip
2007-10-28 12:52 4,229,496 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
2007-10-28 12:52 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.bmp
2007-10-28 12:52 13,011 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2007-10-28 12:38 16,512 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-10-25 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\***\Incomplete

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-25 17:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ahead
2007-11-17 19:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-11-17 18:02 --------- d-----w C:\Programme\Ahead
2007-11-09 19:51 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom Games
2007-11-08 06:53 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Zylom
2007-11-05 16:30 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-26 05:45 --------- d-----w C:\Programme\Xfire
2007-10-25 19:43 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2007-10-21 07:37 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ashampoo
2007-10-20 09:00 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sierra
2007-10-20 08:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2007-10-19 22:01 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\MusicIP
2007-10-19 21:58 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
2007-10-19 21:43 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2007-10-19 21:41 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
2007-10-19 21:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\CyberLink
2007-10-19 21:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-19 21:39 --------- d-----w C:\Programme\CyberLink
2007-10-19 21:20 --------- d-----w C:\Programme\Steam
2007-10-19 21:04 --------- d-----w C:\Programme\ICQLite
2007-10-19 21:04 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQLite
2007-10-18 20:55 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-10-18 15:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sierra
2007-10-18 09:48 649,216 ----a-w C:\WINDOWS\fpuninst.exe
2007-10-18 09:48 --------- d-----w C:\Programme\letstrade
2007-10-18 09:48 --------- d-----w C:\Programme\Gemeinsame Dateien\DataDesign
2007-10-18 09:48 --------- d-----w C:\Programme\Gemeinsame Dateien\buhl data service
2007-10-18 09:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications
2007-10-18 09:47 --------- d-----w C:\Programme\Buhl
2007-10-18 07:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2007-10-17 14:49 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sierra
2007-10-17 14:42 --------- d-----w C:\Programme\Sierra
2007-10-17 06:54 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Leadertech
2007-10-16 16:04 --------- d-----w C:\Programme\MyXOFT
2007-10-16 15:54 --------- d-----w C:\Programme\DS-MP3 Source
2007-10-16 15:54 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\CBL-Electronics
2007-10-16 15:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CBL-Electronics
2007-10-16 15:52 --------- d-----w C:\Programme\cbl-electronics inc
2007-10-16 15:35 --------- d-----w C:\Programme\iTunes
2007-10-16 15:35 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2007-10-16 15:34 --------- d-----w C:\Programme\iPod
2007-10-16 15:34 --------- d-----w C:\Programme\Apple Software Update
2007-10-16 15:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-16 15:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2007-10-11 17:45 --------- d-----w C:\Programme\FileZilla
2007-10-07 16:07 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-10-07 16:06 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-10-07 16:06 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-10-07 15:48 --------- d-----w C:\Programme\WarRock
2007-10-07 15:35 --------- d-----w C:\Programme\WarRok
2007-10-07 13:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2007-10-07 13:00 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-10-06 04:42 --------- d-----w C:\Dokumente und
2007-10-03 17:07 --------- d-----w C:\Programme\MP3-Cutter
2007-09-26 17:46 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-09-26 17:43 --------- d-----w C:\Programme\Microsoft Games
2007-05-12 06:06 40,960 ----a-w C:\WINDOWS\inf\ico.exe
2007-05-11 20:25 72,672 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-01-25 01:52 65,536 ----a-w C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{162C6BC2-E852-4D45-B139-E8A6737F1054}]
2007-11-17 19:14 36352 --------- C:\WINDOWS\system32\cbxwuvt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAE1CC4C-A42C-4BEF-9F2D-ABED61D6FE0E}]
2007-05-16 21:38 25739 --a------ C:\WINDOWS\system32\qdv32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 09:11]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2004-09-23 12:41]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 18:39]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 02:10]
"NvMediaCenter"="RunDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"ACROMOUSE"="C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe" [2004-02-13 15:55]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"nwiz"="nwiz.exe" [2006-10-22 11:22 C:\WINDOWS\system32\nwiz.exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 13:42]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 20:01]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 21:17]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{162C6BC2-E852-4D45-B139-E8A6737F1054}"= C:\WINDOWS\system32\cbxwuvt.dll [2007-11-17 19:14 36352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxwuvt]
cbxwuvt.dll 2007-11-17 19:14 36352 C:\WINDOWS\system32\cbxwuvt.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\sstqp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\0129621178900865mcinstcleanup]
C:\DOKUME~1\***\LOKALE~1\Temp\012962~1.EXE C:\PROGRA~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 10:45 63712 --a------ C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Programme\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MskAgentexe]
C:\Programme\McAfee\MSK\MskAgent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MWLExe]
C:\Programme\Mcafee\MWL\MWLGui.exe /Start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\QTTask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
c:\programme\steam\steam.exe -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install

R2 NMSAccessU;NMSAccessU;C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
S3 ASPI;Advanced SCSI Programming Interface Driver;\??\C:\WINDOWS\System32\DRIVERS\ASPI32.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B7EE0500-C98A-B9CD-B567-CC70C9E9B94A}]
C:\WINDOWS\my_server.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-11-16 16:15:21 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 22:00:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

Silent Runnerslog:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\***\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"SoundMAXPnP" = "C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]
"SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"ACROMOUSE" = "C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe" [empty string]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"LanguageShortcut" = "C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [null data]
"NeroFilterCheck" = "C:\Programme\***\Ahead\Lib\NeroCheck.exe" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\***\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{162C6BC2-E852-4D45-B139-E8A6737F1054}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\cbxwuvt.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
{EAE1CC4C-A42C-4BEF-9F2D-ABED61D6FE0E}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\qdv32.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dMCShell.dll" ["Illustrate"]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\***\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\***\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{162C6BC2-E852-4D45-B139-E8A6737F1054}" = "*i" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\cbxwuvt.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> cbxwuvt\DLLName = "cbxwuvt.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\***\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\***\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\***\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
{FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dBShell.dll" ["Illustrate"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Mozilla\Firefox\Desktop Hintergrund.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.versatel.de/internet-cd/

Missing lines (compared with English-language version):
[Strings]: 1 line

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Cyberlink RichVideo Service(CRVS), RichVideo, ""C:\Programme\CyberLink\Shared files\RichVideo.exe"" [empty string]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe"" ["Nero AG"]
NMSAccessU, NMSAccessU, "C:\Programme\Gemeinsame Dateien\NMSAccessU.exe" [null data]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-11-25 22:09:24)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 43 seconds, including 10 seconds for message boxes)

Bei dem eScan habe ich ein Problem, denn die Log hierzu ist extrem groß,
4,25 MB als Text.
Kann das sein?? Ich habe nur ein Protokoll bekommen und das ist wie gesagt extrem groß.


MFG

Hallo

lies die Anleitung zum eScan nochmal dort steht etwas über die Find.bat mithilfe das Ergebnis hier gepostet werden sollte.
(rechtsklick auf die Find.bat und "Ziel speichern unter..." wählen, dann wie beschrieben ausführen)

MFG

Mein Problem ist das ich keine find.bat bekomme, bzw. nicht weiß wo diese nach dem escan zu finden ist. Darüber kann ich auch nichts in der Anleitung finden.

MFG

Also laut Anleitung soll ich die Auswertdatei herunterladen.

Wenn ich auf den Link klicke öffnet sich lediglich eine Seite mit sehr viel Text aber nichts zum herunterladen.
Ich hoffe ich bin nicht zu doof zum suchen. :schmoll:

Das war der Link dazu: http://files.trojaner-board.de/find.bat

Sorry ich weiß nicht wie ichs machen soll.

Mit der rechten Maustaste auf den Link klicken, "Ziel speichern" wählen, die find.bat abspeichern und sie dann mit einem Doppelklick starten. ;)

Wo wir gerade dabei sind: Diese Dateibitte bei Virustotal überprüfen und die Ergebnisse posten.

Okay danke Franz nun habe ich es auch begriffen ;)

Hier die Auswertung des escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\cbxwuvt.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\cbxwuvt.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\cbxwuvt.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\cbxwuvt.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP117\A0022697.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP117\A0022700.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP120\A0023290.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP129\A0023698.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\cbxwuvt.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\qdv32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\qdv32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP150\A0030402.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP150\A0030404.exe//data0017 markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\qdv32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 112560
Gefundene Viren: 37
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 15
Dauer des Scans bisher: 01:59:30
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:32:32,50
Batchende: 19:32:57,18

Sieht nicht gut aus oder??

MFG

Die Datei my_server kann ich im Windows Ordner leider nicht finden.

Wie kommst du auf die Datei?


MFG

Edit: Kennt jemand Spuninst? Ich habe davon 112 Ordner, die mit blauer Schrift, mit wirren Zahlen und Buchstaben bennant sind, in meinem Windows Ordner. Diese Ordner waren zuerst versteckt.

Zum escan:

Ist die Auswertung als genau anzusehen? 37 Viren?

MFG

er kann nicht gelöscht werden? also irgendetwas sperrt den zugriff afu die datei?
probier mal bitte folgendes programm http://www.shareware.de/software/Programm_GiPo_MoveOnBoot_Copy_Move_Delete_on_Next_Boot_6060.html
damit wird die datei beim näxtn system start gelöscht.

Hallo

lass diese Datei mal bei Virustotal auswerten :
C:\WINDOWS\system32\qdv32.dll


Dann versuch mit Avenger zu löschen

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Starte deinen Rechner neu und anschließend erstelle bitte eine Übersicht mit der Filelist sowie ein frisches Hijackthis Log.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

Hier die Auswertung von Virus Total:

Virus Total

Datei qdv32.dll empfangen 2007.11.28 08:56:28 (CET)

Ergebnis: 19/32 (59.38%)


Antivirus: Version: letzte aktualisierung: Ergebnis:

AhnLab-V3 2007.11.28.1 2007.11.28 -
AntiVir 7.6.0.34 2007.11.28 ADSPY/Stud.A.43
Authentium 4.93.8 2007.11.28 -
Avast 4.7.1074.0 2007.11.27 Win32:Trojano-3384
AVG 7.5.0.503 2007.11.27 Adware Generic2.AMI
BitDefender 7.2 2007.11.28 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.11.27 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.11.28 Trojan.BHO-83
DrWeb 4.44.0.09170 2007.11.28 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5333 2007.11.28 -
Ewido 4.0 2007.11.27 Adware.Stud
FileAdvisor 1 2007.11.28 -
Fortinet 3.14.0.0 2007.11.28 -
F-Prot 4.4.2.54 2007.11.28 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.11.28 -
Ikarus T3.1.1.12 2007.11.28 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.11.28 not-a-virus:AdWare.Win32.Stud.a
McAfee 5172 2007.11.27 -
Microsoft 1.3007 2007.11.28 Trojan:Win32/Webprefix
NOD32v2 2690 2007.11.28 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.11.27 W32/Stud.AE
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.28 -
Rising 20.20.20.00 2007.11.28 AdWare.Win32.Stud.a
Sophos 4.23.0 2007.11.28 MapKon
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.28 Adware.Webprefix
TheHacker 6.2.9.144 2007.11.28 Adware/Stud.a
VBA32 3.12.2.5 2007.11.27 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.11.27 -
Webwasher-Gate 6.0.1 2007.11.28 Ad-Spyware.Stud.A.43
********************************************************************

weitere Informationen:

File size: 25739 bytes
MD5: 21ed7d130b3ce79de7e43e20d215414f
SHA1: 3cc53fd1a4ffaebb5bd42a6d699550bcc1e9f06a
packers: UPX
packers: UPX
packers: UPX
packers: UPX
********************************************************************

Hier der neue escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP117\A0022697.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP117\A0022700.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP120\A0023290.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP129\A0023698.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP162\A0033206.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\avenger\backup.zip/avenger/cbxwuvt.dll markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP150\A0030402.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP150\A0030404.exe//data0017 markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP162\A0033207.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = cbxwuvt.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbxwuvt). Deleting Registry Key cbxwuvt...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 112562
Gefundene Viren: 32
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 19
Dauer des Scans bisher: 01:41:40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:17:31,78
Batchende: 11:17:54,73

Hier die avanger.txt Datei:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ljyuatah

*******************

Script file located at: \??\C:\WINDOWS\kqujayqt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\cbxwuvt.dll deleted successfully.
File C:\WINDOWS\system32\qdv32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hier die gewünschte filelist:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3868-DD20

Verzeichnis von C:\

28.11.2007 11:19 805.306.368 pagefile.sys
28.11.2007 11:07 0 23990098.$$$
28.11.2007 09:18 1.192 avenger.txt
25.11.2007 22:02 14.144 ComboFix.txt

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3868-DD20

Verzeichnis von C:\WINDOWS\system32

28.11.2007 11:25 1.739 hhhkj.ini
28.11.2007 11:19 88.566 nvapps.xml
26.11.2007 19:40 320.608 jkhhh.dll
22.11.2007 18:26 2.206 wpa.dbl
28.10.2007 12:52 13.011 SpoonUninstall-dBpoweramp Music Converter.dat
28.10.2007 12:52 33.846 SpoonUninstall-dBpoweramp Music Converter.bmp
28.10.2007 12:51 4.229.496 SpoonUninstall.exe
28.10.2007 12:14 392.296 perfh009.dat
28.10.2007 12:14 58.596 perfc009.dat
28.10.2007 12:14 405.118 perfh007.dat
28.10.2007 12:14 70.580 perfc007.dat
28.10.2007 12:14 938.224 PerfStringBackup.INI

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3868-DD20

Verzeichnis von C:\WINDOWS\Prefetch

28.11.2007 11:25 11.006 FIND.EXE-0EC32F1E.pf
28.11.2007 11:25 23.476 CMD.EXE-087B4001.pf
28.11.2007 11:25 31.884 WINRAR.EXE-3588DFE8.pf
28.11.2007 11:23 14.244 VERCLSID.EXE-3667BD89.pf
28.11.2007 11:22 30.330 NOTEPAD.EXE-336351A9.pf
28.11.2007 11:21 22.944 WUAUCLT.EXE-399A8E72.pf
28.11.2007 11:21 76.288 FIREFOX.EXE-1D57670A.pf
28.11.2007 11:21 67.960 NMINDEXSTORESVR.EXE-1DBCF9FD.pf
28.11.2007 11:21 15.286 ALG.EXE-0F138680.pf
28.11.2007 11:21 13.174 IPODSERVICE.EXE-233792DA.pf
28.11.2007 11:21 15.020 NMINDEXINGSERVICE.EXE-19799BA6.pf
28.11.2007 11:21 29.610 SVCHOST.EXE-3530F672.pf
28.11.2007 11:21 16.910 IMAPI.EXE-0BF740A4.pf
28.11.2007 11:21 11.306 PNKBSTRA.EXE-188A67A9.pf
28.11.2007 11:21 8.006 SMAGENT.EXE-3A3B0271.pf
28.11.2007 11:21 11.900 RICHVIDEO.EXE-116D67F9.pf
28.11.2007 11:21 23.708 RUNDLL32.EXE-35A483DA.pf
28.11.2007 11:21 9.342 APPLEMOBILEDEVICESERVICE.EXE-0B00542D.pf
28.11.2007 11:21 20.924 NVSVC32.EXE-1F9EED18.pf
28.11.2007 11:21 7.796 NMSACCESSU.EXE-39953FB6.pf
28.11.2007 11:21 30.182 SCHED.EXE-236A886F.pf
28.11.2007 11:21 18.904 RUNDLL32.EXE-1857459C.pf
28.11.2007 11:21 48.576 AVGUARD.EXE-3490B18B.pf
28.11.2007 11:21 12.248 GETPOPUPINFO.EXE-0D9AB107.pf
28.11.2007 11:21 797.930 NTOSBOOT-B00DFAAD.pf
28.11.2007 09:17 19.302 TU_LOGONUI.EXE-381C5638.pf
28.11.2007 09:15 22.406 GUARDGUI.EXE-1BD45C30.pf
28.11.2007 09:13 15.604 AVENGER.EXE-1CC6BE8C.pf
28.11.2007 08:48 140.292 VLC.EXE-000DF0FF.pf
28.11.2007 08:48 17.918 TASKMGR.EXE-20256C55.pf
28.11.2007 08:47 23.192 NMBGMONITOR.EXE-0BC10095.pf
28.11.2007 08:47 14.558 PDVDSERV.EXE-15757141.pf
28.11.2007 08:47 15.714 ITUNESHELPER.EXE-08906EB7.pf
28.11.2007 08:47 39.036 RUNDLL32.EXE-30908AFF.pf
28.11.2007 08:47 10.426 READER_SL.EXE-1EA4C8B2.pf
28.11.2007 08:47 21.958 LANGUAGE.EXE-138EA259.pf
28.11.2007 08:47 14.722 ACROMAPP.EXE-1B52EB23.pf
28.11.2007 08:47 62.008 WMIPRVSE.EXE-28F301A9.pf
28.11.2007 08:47 22.528 RUNDLL32.EXE-2AFB7DC8.pf
28.11.2007 08:47 40.564 JUSCHED.EXE-19D14246.pf
28.11.2007 08:47 12.298 NWIZ.EXE-2D0F9FBC.pf
28.11.2007 08:47 14.618 SMAX4.EXE-2B732B8E.pf
28.11.2007 08:47 16.266 SMAX4PNP.EXE-2279C3AD.pf
28.11.2007 08:47 55.622 AVGNT.EXE-36CA4640.pf
28.11.2007 08:47 22.504 RUNDLL32.EXE-415F88EC.pf
28.11.2007 08:47 119.652 EXPLORER.EXE-082F38A9.pf
28.11.2007 08:47 22.494 USERINIT.EXE-30B18140.pf
27.11.2007 22:04 17.152 MBOOT.EXE-10CCAB90.pf
27.11.2007 22:03 38.484 MSIEXEC.EXE-2F8A8CAE.pf
27.11.2007 22:03 23.554 SETUP.EXE-00F611AC.pf
27.11.2007 22:03 19.040 MOVEONBD.EXE-39353327.pf
27.11.2007 22:00 23.682 HELPER.EXE-244ABC1F.pf
27.11.2007 22:00 59.890 UPDATER.EXE-09079682.pf
27.11.2007 19:50 7.756 NEROCHECK.EXE-1BD71082.pf
26.11.2007 21:40 19.626 RUNDLL32.EXE-140F9E5C.pf
26.11.2007 20:30 52.278 DFRGNTFS.EXE-269967DF.pf
26.11.2007 20:30 15.706 DEFRAG.EXE-273F131E.pf
26.11.2007 20:30 304.176 Layout.ini
26.11.2007 19:47 31.592 MSPAINT.EXE-11CBB631.pf
26.11.2007 19:36 6.952 WDFMGR.EXE-2CF4013B.pf
26.11.2007 17:04 48.944 SCANNINGPROCESS.EXE-16300C2E.pf
26.11.2007 17:04 16.958 MWAVL.EXE-398F8BA6.pf
26.11.2007 17:04 43.778 MEXE.COM-0522A409.pf
26.11.2007 17:03 75.500 MWAV.EXE-20AEC388.pf
26.11.2007 17:02 13.746 REG.EXE-0D2A95F7.pf
26.11.2007 17:02 5.176 MORE.COM-32DCB7E4.pf
26.11.2007 17:02 11.174 FINDSTR.EXE-0CA6274B.pf
26.11.2007 17:00 19.834 RUNDLL32.EXE-327ED30F.pf
26.11.2007 16:59 39.338 RUNDLL32.EXE-1831A4F3.pf
26.11.2007 16:59 58.632 WSCNTFY.EXE-1B24F5EB.pf
26.11.2007 16:59 17.476 RUNDLL32.EXE-2FAEF965.pf
26.11.2007 16:59 44.416 MSHTA.EXE-331DF029.pf
26.11.2007 16:59 19.536 RUNDLL32.EXE-1224CF94.pf
25.11.2007 22:09 33.762 WSCRIPT.EXE-32960AB9.pf
25.11.2007 22:09 35.772 IEXPLORE.EXE-2CA9778D.pf
25.11.2007 22:08 25.230 WORDPAD.EXE-1EFCC5C1.pf
25.11.2007 22:02 9.152 NIRCMD.EXE-2C39EF53.pf
25.11.2007 22:02 14.038 REGEDIT.EXE-1B606482.pf
25.11.2007 22:02 11.582 CATCHME.CFEXE-0F2A0789.pf
25.11.2007 22:02 19.866 DUMPHIVE.CFEXE-2ED3B134.pf
25.11.2007 22:01 23.230 CSCRIPT.EXE-1C26180C.pf
25.11.2007 22:00 9.786 CATCHME.EXE-334C4B6E.pf
25.11.2007 22:00 4.094 SED.CFEXE-268D7E58.pf
25.11.2007 22:00 10.672 SORT.EXE-194AE83C.pf
25.11.2007 22:00 20.510 REGT.CFEXE-15DB5DAE.pf
25.11.2007 22:00 11.768 NIRCMD.CFEXE-19FF4781.pf
25.11.2007 22:00 9.048 VFIND.CFEXE-2033727F.pf
25.11.2007 22:00 6.640 SWXCACLS.CFEXE-365F7973.pf
25.11.2007 22:00 4.666 NTRIGHTS.CFEXE-1874F6AB.pf
25.11.2007 22:00 3.926 GREP.CFEXE-20443039.pf
25.11.2007 22:00 4.144 MTEE.CFEXE-1E067BC7.pf
25.11.2007 22:00 12.510 SWREG.CFEXE-2BF4FFCD.pf
25.11.2007 21:57 14.146 RUNDLL32.EXE-3C808998.pf
25.11.2007 21:33 4.256 HANDLE.CFEXE-13427ED2.pf
25.11.2007 21:32 7.706 SWSC.CFEXE-3B4FE4FE.pf
25.11.2007 21:32 10.972 ATTRIB.EXE-39EAFB02.pf
25.11.2007 21:26 8.900 NIRCMD.EXE-1F7FED22.pf
25.11.2007 19:03 14.434 RUNDLL32.EXE-451FC2C0.pf
98 Datei(en) 3.477.842 Bytes
0 Verzeichnis(se), 23.215.329.280 Bytes frei


----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3868-DD20

Verzeichnis von C:\WINDOWS

28.11.2007 11:20 0 0.log
28.11.2007 11:20 2.033.635 WindowsUpdate.log
28.11.2007 11:19 54.156 QTFont.qfn
28.11.2007 11:19 2.048 bootstat.dat
28.11.2007 09:24 50 Lic.xxx
28.11.2007 09:22 241.884 ntbtlog.txt
28.11.2007 09:20 32.544 SchedLgU.Txt
28.11.2007 09:17 50 wiaservc.log
28.11.2007 09:17 216 wiadebug.log
28.11.2007 08:48 69 NeroDigital.ini
17.11.2007 22:06 711.187 setupapi.log
08.11.2007 16:59 136.704 catchme.exe
28.10.2007 12:57 110.890 wmsetup.log
28.10.2007 12:57 316.640 WMSysPr9.prx

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3868-DD20

Verzeichnis von C:\WINDOWS\tasks

28.11.2007 11:19 6 SA.DAT
16.11.2007 17:15 404 1-Klick-Wartung.job

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3868-DD20

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

28.11.2007 11:25 115.605 filelist.txt
28.11.2007 11:24 1.028 jusched.log
28.11.2007 11:17 23.615.002 MWAV.LOG
28.11.2007 11:17 312.400 sfdb.dat
28.11.2007 11:07 2.279.066 MWAVC.LOG
26.11.2007 17:04 626.688 msvcr80.dll
26.11.2007 17:04 548.864 msvcp80.dll
26.11.2007 17:03 7.168 erootdrv.sys
26.11.2007 17:03 241.664 MYDB.DLL
25.11.2007 22:07 14.144 combofix.txt
23.11.2007 18:51 78 mwavclp.txt
23.11.2007 18:51 78 mwavrar.txt
23.11.2007 18:50 29.462 avp.klb
23.11.2007 18:50 35.323 ext009.avc
23.11.2007 18:50 37.175 fa.avc
23.11.2007 18:50 553 daily-ex.avc
23.11.2007 18:50 46.524 daily.avc
23.11.2007 18:50 28.254 base159.avc
23.11.2007 18:50 50.198 base154.avc
23.11.2007 18:50 49.655 base153.avc
23.11.2007 18:50 50.278 base127.avc
23.11.2007 18:50 1.013 daily-ec.avc
23.11.2007 18:50 22.047 ext006c.avc
23.11.2007 18:50 5.386 dailyc.avc
23.11.2007 18:50 24.514 base066c.avc
23.11.2007 18:50 50.010 base065c.avc
23.11.2007 18:50 50.233 base064c.avc
23.11.2007 18:50 17.407 fa001.avc
23.11.2007 17:13 467.520 mexe.com
23.11.2007 17:13 467.520 MWAVSCAN.COM
23.11.2007 13:48 51.759 Czech.Age
23.11.2007 13:48 50.946 Tamil.age
23.11.2007 13:48 91.771 Chinese.Age
23.11.2007 13:48 110.675 Icelandic.Age
23.11.2007 13:48 115.585 Polish.Age
23.11.2007 13:48 112.443 Finnish.Age
23.11.2007 13:48 116.740 French.Age
23.11.2007 13:48 115.630 Spanish.Age
23.11.2007 13:48 116.354 Spanishl.Age
23.11.2007 13:48 111.385 Romanian.Age
23.11.2007 13:48 123.926 Portuguese.Age
23.11.2007 13:48 122.996 Italian.Age
23.11.2007 13:48 125.772 language.ini
23.11.2007 13:48 125.772 German.Age
23.11.2007 12:29 61.952 reload.exe
22.11.2007 12:52 37.680 unp020.avc
22.11.2007 12:08 312.870 phupdn.txt
22.11.2007 11:52 18.427 global.daz
22.11.2007 11:52 88.788 phupdn.txz
22.11.2007 10:58 2.099.379 File1.sdb
22.11.2007 10:58 774.617 Dir.sdb
22.11.2007 10:58 1.281.868 Cid.sdb
22.11.2007 10:58 1.429.043 File2.sdb
22.11.2007 10:58 264.031 spydb.avs
22.11.2007 10:58 162.802 Spyware.sdb
22.11.2007 10:58 264.031 spydb.old
21.11.2007 23:08 5.515 Czech.dow
21.11.2007 23:08 5.437 Tamil.dow
21.11.2007 23:08 4.474 Chinese.dow
21.11.2007 23:07 5.575 Icelandic.dow
21.11.2007 23:07 5.844 Finnish.dow
21.11.2007 23:07 6.476 Polish.dow
21.11.2007 23:07 6.354 French.dow
21.11.2007 23:07 6.006 Spanish.dow
21.11.2007 23:07 6.373 Spanishl.dow
21.11.2007 23:07 5.908 Romanian.dow
21.11.2007 23:07 6.297 Portuguese.dow
21.11.2007 23:07 5.930 Italian.dow
21.11.2007 23:07 6.061 Download.lan
21.11.2007 23:07 6.061 German.dow
21.11.2007 22:46 49.291 base025.avc
21.11.2007 22:46 50.515 ext005c.avc
21.11.2007 22:46 50.101 base062c.avc
21.11.2007 22:46 50.193 base063c.avc
21.11.2007 22:46 50.135 base061c.avc
21.11.2007 16:06 188.416 download.exe
21.11.2007 13:42 5.539 English.dow
20.11.2007 21:24 50.311 base158.avc
20.11.2007 21:24 50.300 base157.avc
20.11.2007 15:59 52.107 English.Age
20.11.2007 15:42 173.568 esupdate.exe
20.11.2007 15:26 39.936 unregx.exe
20.11.2007 14:16 1.974.272 msvl64.dll
20.11.2007 14:09 44.032 setpriv.exe
20.11.2007 14:03 155.648 msvlclnt.dll
20.11.2007 13:56 48.704 Getvlist.exe
20.11.2007 13:35 429.568 MWAVReg.EXE
20.11.2007 10:45 76.437 unp002.avc
20.11.2007 10:45 49.144 base030.avc
19.11.2007 19:37 13.670 French.con
19.11.2007 13:04 4.110 avp.set
19.11.2007 13:04 4.110 avp_ext.set
19.11.2007 13:04 4.110 avp_x.set
19.11.2007 13:04 41.175 unp022.avc
19.11.2007 13:04 57.842 unp015.avc
19.11.2007 13:04 50.428 base148.avc
19.11.2007 13:04 56.293 unp014.avc
19.11.2007 13:04 49.913 base129.avc
19.11.2007 13:04 51.036 base146.avc
19.11.2007 13:04 47.772 base003.avc
19.11.2007 13:04 50.561 base013c.avc
19.11.2007 13:04 50.682 base005c.avc
19.11.2007 12:32 1.333 esupd.ini
17.11.2007 16:51 11.731 Czech.con
17.11.2007 16:51 11.444 Tamil.con
17.11.2007 16:51 9.295 Chinese.con
17.11.2007 16:51 12.420 Icelandic.con
17.11.2007 16:51 12.293 Finnish.con
17.11.2007 16:51 13.471 Polish.con
17.11.2007 16:51 12.609 Spanish.con
17.11.2007 16:51 13.091 Spanishl.con
17.11.2007 16:50 12.259 Romanian.con
17.11.2007 16:50 13.277 Portuguese.con
17.11.2007 16:50 12.298 Italian.con
17.11.2007 16:50 15.837 config.lan
17.11.2007 16:50 15.837 German.con
17.11.2007 14:30 49.841 base083.avc
17.11.2007 13:46 50.501 base065.avc
17.11.2007 11:29 49.568 base130.avc
16.11.2007 17:34 11.769 English.con
16.11.2007 16:47 49.801 base042.avc
16.11.2007 12:05 41.038 base092.avc
15.11.2007 14:43 34.250 unp039.avc
14.11.2007 18:43 9.598 german.lan
14.11.2007 17:21 11.721 English.lan
13.11.2007 17:03 156.854 krnmacro.avc
13.11.2007 11:46 46.316 unp036.avc
13.11.2007 11:46 51.053 base029.avc
13.11.2007 11:46 49.951 base094.avc
12.11.2007 11:50 48.293 unp037.avc
12.11.2007 11:50 42.517 unp032.avc
12.11.2007 11:50 48.011 base038c.avc
12.11.2007 11:50 50.107 base037c.avc
12.11.2007 11:50 50.768 base034c.avc
12.11.2007 11:50 50.166 base036c.avc
08.11.2007 16:43 407.552 viewtcp.exe
08.11.2007 13:05 48.852 unp034.avc
08.11.2007 13:05 65.980 unp035.avc
08.11.2007 13:05 50.423 base150.avc
08.11.2007 13:05 49.270 base050.avc
08.11.2007 13:05 48.907 base004.avc
07.11.2007 17:25 98.304 MWAVL.exe
03.11.2007 16:55 50.131 base056.avc
02.11.2007 15:22 50.316 base155.avc
02.11.2007 12:30 49.936 unp027.avc
02.11.2007 12:30 50.099 base156.avc
02.11.2007 12:30 49.593 base060c.avc
02.11.2007 12:30 43.455 krnengn.avc
01.11.2007 12:35 55.610 base144.avc
31.10.2007 21:12 50.018 base088.avc
30.10.2007 14:18 120.392 krnunp.avc
29.10.2007 10:33 64.818 unp016.avc
29.10.2007 10:33 75.678 unp007.avc
27.10.2007 20:58 27.023 gen005.avc
27.10.2007 20:58 36.190 gen004.avc
27.10.2007 20:58 51.288 unp005.avc
27.10.2007 20:58 49.867 base072.avc
26.10.2007 11:17 47.980 base002.avc
26.10.2007 11:17 50.073 base059c.avc
26.10.2007 11:17 50.368 base058c.avc
26.10.2007 11:17 50.489 base057c.avc
26.10.2007 11:17 49.385 base056c.avc
26.10.2007 11:17 50.158 base055c.avc
26.10.2007 11:17 49.874 base054c.avc

und hier ein frischer Highjacklog:

Logfile of HijackThis v1.99.1
Scan saved at 11:35:40, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {162C6BC2-E852-4D45-B139-E8A6737F1054} - C:\WINDOWS\system32\cbxwuvt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {EAE1CC4C-A42C-4BEF-9F2D-ABED61D6FE0E} - C:\WINDOWS\system32\qdv32.dll (file missing)
O2 - BHO: (no name) - {F68EC349-0E41-44BC-A0C3-2CA204C13626} - C:\WINDOWS\system32\jkhhh.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ACROMOUSE] C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{2ED695AD-D37A-4B6A-99B3-BB27496D3A47}: NameServer = 89.246.64.8
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo

lass bitte nochmal diese Dateien :
auswerten, wenn nix gefunden wird können wir mit dem Avenger fortfahren.

Starte Hijackthis und fixe diese Einträge :
Lösche mit Avenger diese Dateien
Poste bitte das Log von Avenger sowie die Auswertung der Dateien.

MFG

Hallo,

die beiden Dateien sind laut Virustotal keine Viren o.ä.

Was genau meinst du mit "fixe diese Einträge mit Highjackthis"?

Wenn ich bei Avenger den von Dir angegeben Befehl ausführe zeigt er mir nach dem rebooten dieses Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bfsibnuh

*******************

Script file located at: mpjhfuqs

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


MFG

Habe das mit Avenger noch einmal probiert und siehe da:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bhpvngtm

*******************

Script file located at: \??\C:\Program Files\mcevaihl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\hhhkj.ini deleted successfully.
File C:\WINDOWS\system32\jkhhh.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

MFG

Hallo

starte Hijackthis mit der Option - do a system scan only - und hake die o.g. Einträge an, dann auf - fix checked - klicken und Hijackthis beenden.

Dann Antivir updaten sowie die Systemwiederherstellung deaktivieren und im abgesicherten Modus (beim start F8 drücken) einen Fullscan durchführen.
Zurück im normalen Modus kann die Systemwiederherstellung wieder aktiviert werden wenn gewünscht.

MFG

Guten Morgen,

gut soweit habe ich es verstanden. Soll ich den Fullscan mit escan oder als Highjackthis durchführen?

MFG

Hallo

Jetzt bitte mit Antivir;), anschließend berichte nochmal.

MFG

Also AntiVir hat nur einen Virus beim Fullscan gefunden und das ist der gleiche wie vorher...Allerdings wurde der bei Avenger im Ordner Backup gefunden...

Ansonsten nichts entdeckt...

MFG

Hallo

Den Backupordner kannst du löschen den brauchen wir zur Zeit nicht mehr.
Wenn du keine Probleme mehr hast, denke ich sind wir durch.

MFG

Okay, kannst du mir noch sagen, was es mit diesen komischen Ordnern im Windows mit der blauen Schrift auf sich hat?

MFG

Das wird ein komprimierter Ordner sein. Windows packt länger nicht gebrauchte Dateien um Speicherplatz zu sparen..

Okay Danke undoreal.

Also dann war es das? Man bin ich froh...

Also auf diesem Wege dann.. Danke nochdigger für deine super Hilfe!!!
Ich hätte wahrscheinlich formatieren müssen, denn so hätte ich das nie hinbekommen!
Danke auch das du dir die Zeit genommen und auch beim nachfragen alles super verständlich erklärt hast!

Vielen Dank!!! :aplaus: