Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Brauche Hilfe! TR/Agent.249856.B (https://www.trojaner-board.de/51182-brauche-hilfe-tr-agent-249856-b.html)

400M 29.03.2008 16:52
Brauche Hilfe! TR/Agent.249856.B
 
Hallo!
Sofort nach dem Sytemstart zeigt mir mein Antivir einen Meldung an, und weißt mich auf einen Trojaner hin in der Datei gypwgvitdbx.exe und sagt, dass es der Trojaner Tr/Agent.249856.B sei. Leider bekomme ich die Datei nicht eglöscht, so dass ich ziemlich regelmäßig die AntiVirmeldung bekomme. Anbei hab ich mal das Logfile HiJackThis gepackt. Wäre super, wenn mir jemand bei meinem Problem helfen kann.

Gruß Jan

HiJackThsi-LogFile:

HTML-Code:
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Thunderbird\thunderbird.exe
C:\WINDOWS\explorer.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)

--
End of file - 7265 bytes

virus 29.03.2008 17:08
Hallo 400M

Bitte lasse folgende Dateien hier oder hier online scanne:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe

O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe

O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)

Bitte downloade dir auch ccleaner und lasse dir dein system säubern + registry reparieren.
Danach bitte combofix downloaden, anwenden und den report posten.

400M 29.03.2008 19:28
Hi, ok danke für deine erste Hilfe, ich lasse das dann mal durchlaufen...

Hier die Ergebnisse:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
--> Fazit: 0 von 32
HTML-Code:
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.3.29.0        2008.03.29        -
AntiVir        7.6.0.78        2008.03.28        -
Authentium        4.93.8        2008.03.29        -
Avast        4.7.1098.0        2008.03.29        -
AVG        7.5.0.516        2008.03.28        -
BitDefender        7.2        2008.03.29        -
CAT-QuickHeal        9.50        2008.03.28        -
ClamAV        0.92.1        2008.03.29        -
DrWeb        4.44.0.09170        2008.03.29        -
eSafe        7.0.15.0        2008.03.18        -
eTrust-Vet        31.3.5653        2008.03.29        -
Ewido        4.0        2008.03.29        -
FileAdvisor        1        2008.03.29        -
Fortinet        3.14.0.0        2008.03.29        -
F-Prot        4.4.2.54        2008.03.28        -
F-Secure        6.70.13260.0        2008.03.29        -
Ikarus        T3.1.1.20        2008.03.29        -
Kaspersky        7.0.0.125        2008.03.29        -
McAfee        5262        2008.03.28        -
Microsoft        1.3301        2008.03.28        -
NOD32v2        2983        2008.03.29        -
Norman        5.80.02        2008.03.28        -
Panda        9.0.0.4        2008.03.29        -
Prevx1        V2        2008.03.29        -
Rising        20.37.51.00        2008.03.29        -
Sophos        4.28.0        2008.03.29        -
Sunbelt        3.0.978.0        2008.03.18        -
Symantec        10        2008.03.29        -
TheHacker        6.2.92.258        2008.03.29        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.03.29        -
Webwasher-Gateway        6.6.2        2008.03.29        -
weitere Informationen
File size: 217088 bytes
MD5: 431a18c5e9f8827193afcb74e3880888
SHA1: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007
PEiD: -
O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe
--> Die Datei existiert nicht in meinem System32 Ordner, ist dort nicht aufzufinden!

O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
--> Fazit: 11 von 32
HTML-Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.3.29.0        2008.03.29        -
AntiVir        7.6.0.78        2008.03.28        TR/Agent.249856.B
Authentium        4.93.8        2008.03.29        -
Avast        4.7.1098.0        2008.03.29        -
AVG        7.5.0.516        2008.03.28        SHeur.BANS
BitDefender        7.2        2008.03.29        -
CAT-QuickHeal        9.50        2008.03.28        -
ClamAV        0.92.1        2008.03.29        Trojan.Downloader-27280
DrWeb        4.44.0.09170        2008.03.29        -
eSafe        7.0.15.0        2008.03.18        Suspicious File
eTrust-Vet        31.3.5653        2008.03.29        -
Ewido        4.0        2008.03.29        -
F-Prot        4.4.2.54        2008.03.28        -
F-Secure        6.70.13260.0        2008.03.29        Trojan-Downloader.Win32.Agent.mba
FileAdvisor        1        2008.03.29        -
Fortinet        3.14.0.0        2008.03.29        -
Ikarus        T3.1.1.20        2008.03.29        Backdoor.Win32.Oderoor.B
Kaspersky        7.0.0.125        2008.03.29        Trojan-Downloader.Win32.Agent.mba
McAfee        5262        2008.03.28        -
Microsoft        1.3301        2008.03.28        Backdoor:Win32/Oderoor.gen!B
NOD32v2        2984        2008.03.29        -
Norman        5.80.02        2008.03.28        -
Panda        9.0.0.4        2008.03.29        -
Prevx1        V2        2008.03.29        Covert.Sys.Exec
Rising        20.37.51.00        2008.03.29        -
Sophos        4.28.0        2008.03.29        Mal/EncPk-CK
Sunbelt        3.0.978.0        2008.03.18        -
Symantec        10        2008.03.29        -
TheHacker        6.2.92.258        2008.03.29        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.03.29        -
Webwasher-Gateway        6.6.2        2008.03.29        Trojan.Agent.249856.B
weitere Informationen
File size: 188416 bytes
MD5: fb57076a1a523f7a214634f52f934e6b
SHA1: b594b47b7ce3c4717cbc0b35e5e153e4454b36ae
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7311C21000DDFC89E02C022DDDE82A00158A5DFD
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)
--> Datei ist nicht vorhanden!

Ich führe jetzt den ccleaner aus und poste dann ebenfalls das combofox logfile.

virus 29.03.2008 19:33
Also da du nen Backdoor hast würde ich dir Neuaufsetzen empfehlen;)

Ansonsten lösche die infizierten dateien mit KillBox

Nach dem du ComboFix angewendet hast den report posten + neues Hijackthis logfile posten :daumenhoc

400M 29.03.2008 19:39
Ok, danke für deine Hilfe bis hierher virus.

Jetzt habe ich das Programm ComboFix durchlaufen lassen und hier das entsprechende logfile dazu:
HTML-Code:
ComboFix 08-03-27.5 - Jan 2008-03-29 19:31:13.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1622 [GMT 1:00]
ausgeführt von:: F:\Internet\Download\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


(((((((((((((((((((((((  Dateien erstellt von 2008-02-28 bis 2008-03-29  ))))))))))))))))))))))))))))))
.

2008-03-24 17:48 . 2007-07-30 19:19        271,224        --a------        C:\WINDOWS\system32\mucltui.dll
2008-03-24 17:48 . 2007-07-30 19:19        207,736        --a------        C:\WINDOWS\system32\muweb.dll
2008-03-24 17:48 . 2007-07-30 19:18        30,072        --a------        C:\WINDOWS\system32\mucltui.dll.mui
2008-03-24 14:12 . 2008-03-24 14:11        691,545        --a------        C:\WINDOWS\unins000.exe
2008-03-24 14:12 . 2008-03-24 14:12        2,543        --a------        C:\WINDOWS\unins000.dat
2008-03-24 14:06 . 2008-03-24 14:04        188,416        --a------        C:\WINDOWS\system32\gypwgvitdbbx.VIR
2008-03-24 13:22 . 2008-03-24 13:23        <DIR>        d--------        C:\Programme\Windows Live
2008-03-24 13:22 . 2008-03-24 13:22        <DIR>        d--hsc---        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-24 13:22 . 2008-03-24 13:22        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 13:44        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-22 19:04        ---------        d-----w        C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Tobit
2008-02-16 11:03        ---------        d-----w        C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Steganos
2008-02-07 18:14        73,216        ----a-w        C:\WINDOWS\cadkasdeinst01.exe
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 07:00 16050176 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-03-22 03:50 1622016 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-12-15 03:58 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-12-15 03:58 69632]
"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-12-15 03:59 217088]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:17 249896]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:02 1454080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-03-22 03:50 8425472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"gypwgvitdbbx"="C:\WINDOWS\system32\gypwgvitdbbx.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SSS2006"="E:\Programme\Steganos Security Suite 2006\SSS2006.exe" [2006-06-08 11:44 5279744]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Fast Start]
--a------ 2006-11-20 11:36 50736 C:\Programme\AOL 9.0 VR\AOL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
f:\Mp3\Radio\ClipInc\Player\ClipIncTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-11-14 14:47 50736 C:\Programme\Gemeinsame Dateien\AOL\1178801220\ee\AOLSoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-08-04 16:28 49152 C:\Programme\HP\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPWUTOOLBOX]
--a------ 2005-07-23 01:18 352256 C:\Programme\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-12-19 15:48 172280 E:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMC]
E:\Programme\FriendFinder\FriendFinder Messenger 30\imc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-04-19 12:26 484904 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 08:41 282624 E:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2006]
--a------ 2006-06-08 11:44 5279744 E:\Programme\Steganos Security Suite 2006\SSS2006.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-05-10 13:08 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\acs\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\acs\\AOLacsd.exe"=
"C:\\Programme\\AOL 9.0 VR\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"G:\\TrackMania\\TmOriginal.exe"=
"G:\\Programme\\Emergency 4\\Em4.exe"=
"G:\\Programme\\Airline Tycoon - Deluxe\\At.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"G:\\Programme\\Monte Cristo\\Fire Department 3\\FD3.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"E:\\Programme\\LECTURNITY Player\\JRE\\bin\\javaw.exe"=
"G:\\Programme\\Electronic Arts\\Need for Speed ProStreet\\nfs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42]
S2 uouupwi4i3;Print Spooler Service;C:\WINDOWS\system32\gypwgvitdbbx.exe []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 19:33:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 19:34:42 - machine was rebooted
ComboFix-quarantined-files.txt  2008-03-29 18:34:39
ComboFix2.txt  2008-03-29 16:33:00
              5 Verzeichnis(se),  9,680,625,664 Bytes frei
              10 Verzeichnis(se),  9,671,503,872 Bytes frei
.
2008-03-24 17:26:03        --- E O F --- 
Und das entsprechende aktuelle Log-File von HiJackThis:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:27, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\RunServices: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\gypwgvitdbbx.exe (file missing)

--
End of file - 6780 bytes
Danke fürs drüberschauen!

virus 29.03.2008 19:46
Also fixe folgende Einträge mit hijackthis:

O4 - HKLM\..\RunServices: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe kontrollier nochmals ob du die datei wirklich gelöscht hast (vor dem fixen mit hijackthis im taskmanager den "gypwgvitdbbx.exe" prozess beenden)

O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\gypwgvitdbbx.exe (file missing)

das combofix logfile schaue ich mir morgen an;) noch nen schönen abend

virus 30.03.2008 15:59
Bitte folgende Dateien hier oder hier online scannen lassen:

C:\WINDOWS\system32\mucltui.dll

C:\WINDOWS\system32\mucltui.dll.mui

C:\WINDOWS\system32\gypwgvitdbbx.VIR

C:\WINDOWS\cadkasdeinst01.exe

C:\WINDOWS\RTHDCPL.exe

C:\WINDOWS\SkyTel.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\WINDOWS\system32\gypwgvitdbbx.exe

C:\\WINDOWS\\system32\\dplaysvr.exe

C:\\WINDOWS\\system32\\javaw.exe

E:\\Programme\\LECTURNITY Player\\JRE\\bin\\javaw.exe

C:\WINDOWS\system32\drivers\avmeject.sys

C:\WINDOWS\system32\nvsvc32.exe

dort wo er etwas findet bitte report posten;)

400M 30.03.2008 17:22
Hi Virus, alles klar. Die Punkte von gestern hab ich abgearbeitet und poste dann die möglichen Fundtsellen von heute.

Gruß Jan

400M 30.03.2008 19:13
So hier die Ergebnisse:

HTML-Code:
Datei mucltui.dll.mui empfangen 2007.09.06 16:51:52 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        -        -        -
AntiVir        -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        -
BitDefender        -        -        -
CAT-QuickHeal        -        -        -
ClamAV        -        -        -
DrWeb        -        -        -
eSafe        -        -        -
eTrust-Vet        -        -        -
Ewido        -        -        -
FileAdvisor        -        -        -
Fortinet        -        -        -
F-Prot        -        -        -
F-Secure        -        -        -
Ikarus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        -
Microsoft        -        -        -
NOD32v2        -        -        -
Norman        -        -        -
Panda        -        -        -
Prevx1        -        -        -
Rising        -        -        -
Sophos        -        -        -
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        W32/Behav-Heuristic-068
VBA32        -        -        -
VirusBuster        -        -        -
Webwasher-Gateway        -        -        -
weitere Informationen
MD5: 0907ff5a64a1e93d35f0f7f1db6fab72
SHA1: ad8d100cf81920dee12190de8755bbc4251905d6
SHA256: 1aabdfc6c99a7c326e4b24192c868c4f9697f218f42a0b5af4a8d232c79a12a0
SHA512: 9329df0e5a88b11b3df9f6b8aaba3e92b86687e3781e7e9f14142ebf6df1e04e 4733d48af5b490993221e3bcdb3810c7490b1545976fe9c7e147472f3729cdd2
Datei C:\WINDOWS\system32\gypwgvitdbbx.VIR schon gelöscht, da das die Datei war des Trojaners von gestern

HTML-Code:
Datei SkyTel.exe empfangen 2008.01.12 00:47:19 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        -        -        -
AntiVir        -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        -
BitDefender        -        -        -
CAT-QuickHeal        -        -        -
ClamAV        -        -        -
DrWeb        -        -        -
eSafe        -        -        -
eTrust-Vet        -        -        -
Ewido        -        -        -
FileAdvisor        -        -        Low threat detected
Fortinet        -        -        -
F-Prot        -        -        -
F-Secure        -        -        -
Ikarus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        -
Microsoft        -        -        -
NOD32v2        -        -        -
Norman        -        -        -
Panda        -        -        -
Prevx1        -        -        -
Rising        -        -        -
Sophos        -        -        -
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        -
VBA32        -        -        -
VirusBuster        -        -        -
Webwasher-Gateway        -        -        -
weitere Informationen
MD5: c74b86642f131d76c0ede673fdf137b2
SHA1: 9665e7b5eae5ccf8f8e84077aba77525b918fd91
SHA256: 91659969cf94979fa980a3c13ab3e7421048e4e2720de6064e9b61fd4df96666
SHA512: e937a8856f514c51da116f973956126fc09b3c58d98b480139cd6d9e13d05280 91ef8d9db5f8cd97c2543f9b57c410a9c3ecb3133e53b920b4871155c202509f
HTML-Code:
Datei dplaysvr.exe empfangen 2008.03.30 20:01:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 14.
Geschätzte Startzeit is zwischen 84 und 120 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.3.29.0        2008.03.29        -
AntiVir        7.6.0.78        2008.03.28        -
Authentium        4.93.8        2008.03.30        -
Avast        4.7.1098.0        2008.03.29        -
AVG        7.5.0.516        2008.03.30        -
BitDefender        7.2        2008.03.30        -
CAT-QuickHeal        9.50        2008.03.28        -
ClamAV        0.92.1        2008.03.30        -
DrWeb        4.44.0.09170        2008.03.30        -
eSafe        7.0.15.0        2008.03.30        -
eTrust-Vet        31.3.5653        2008.03.29        -
Ewido        4.0        2008.03.30        -
F-Prot        4.4.2.54        2008.03.30        -
F-Secure        6.70.13260.0        2008.03.29        -
FileAdvisor        1        2008.03.30        -
Fortinet        3.14.0.0        2008.03.30        -
Ikarus        T3.1.1.20        2008.03.30        -
Kaspersky        7.0.0.125        2008.03.30        -
McAfee        5262        2008.03.28        -
Microsoft        1.3301        2008.03.30        -
NOD32v2        2984        2008.03.29        -
Norman        5.80.02        2008.03.28        -
Panda        9.0.0.4        2008.03.29        -
Prevx1        V2        2008.03.30        -
Rising        20.37.61.00        2008.03.30        -
Sophos        4.28.0        2008.03.30        -
Sunbelt        3.0.978.0        2008.03.18        -
Symantec        10        2008.03.30        -
TheHacker        6.2.92.258        2008.03.29        -
VBA32        3.12.6.3        2008.03.25        -
VirusBuster        4.3.26:9        2008.03.29        -
Webwasher-Gateway        6.6.2        2008.03.30        BlockReason.0
Die restlichen Dateien schaff ic herst morgen Abend zu Scannen. Ich meld mich dann wieder. Danke!

400M 01.04.2008 08:28
Guten Morgen,

gestern hab ich leider net mehr geschafft zu posten, also die übrigen 4 Dateien, haben kein ergebnis erzeilt, also keinen Treffer.

Wie soll ich weiter verfahren?

Gruß Jan

virus 01.04.2008 18:22
Also, Frage: Hast du immer noch die anfänglich beschriebenen Probleme?

Bitte lade dir Malwarebytes und scanne dein system und lasse alles infizierte löschen:daumenhoc (report posten)
Dann Kaspersky online scan machen:)
Poste bitte noch ein neues HiJackThis logfile:daumenhoc
Die Links dazu findest du in meiner Signatur.

400M 02.04.2008 12:50
Hallo Virus!

So nun hab ich die neuste Liste abgearbeitet und postet hier die netsprechenden logs. Die Probleme, die ich in meinem ersten Posting erwähnt ahbe, gehören inzwischen der Vergangenheit an. Das System läuft wieder ganz normal.

Hier das LogFile von Malwarebytes
HTML-Code:
Malwarebytes' Anti-Malware 1.10
Datenbank Version: 582

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|)
Objekte gescannt: 168487
Scan Dauer: 25 minute(s), 56 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Jan\results.txt (Malware.Trace) -> Quarantined and deleted successfully.
Hier das LogFile von Kaspersky:
HTML-Code:
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 2. April 2008 13:39:21
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  2/04/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 677575
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
        A:\
        C:\
        D:\
        E:\
        F:\
        G:\
        H:\
        I:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 133441
        Viren gefunden: 1
        Infizierte Objekte gefunden: 2
        Verdächtige Objekte gefunden: 0
        Untersuchungszeit: 00:41:16

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\cert8.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\formhistory.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\history.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\key3.db        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\parent.lock        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\search.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\urlclassifier2.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\webappsstore.sqlite        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\XUL.mfl        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\Jan\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{6561DB73-11E2-4D7D-99F0-959C9CF5985A}\RP128\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{C500F088-25CA-4787-B30D-517714DA7646}.bin        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Sti_Trace.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiadebug.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\wiaservc.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen
D:\hiberfil.sys        Das Objekt ist gesperrt        übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
D:\Windows\CSC\v2.0.6\pq        Das Objekt ist gesperrt        übersprungen
D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl        Das Objekt ist gesperrt        übersprungen
D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl        Das Objekt ist gesperrt        übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
F:\Internet\Download\Download_mbam-setup.exe        Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.fs        übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
G:\System Volume Information\_restore{6561DB73-11E2-4D7D-99F0-959C9CF5985A}\RP128\change.log        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.
--> interessant find ich daran, dass hier der Malwarebytes-Installationsdatei hier mit als verdächtig oder soagr Virus identifiziert (F:\Internet\Download\Download_mbam-setup.exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.fs)

Un das neuste Hichjackthis-LogFile:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:05, on 02.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe

--
End of file - 6902 bytes
Vielen Dank für deine Mühe und viele Grüße,

Jan

virus 02.04.2008 14:48
Hi 400M

Das sieht wieder ganz gut aus:daumenhoc
Lass nochmals ccleaner (rate ich dir jeden Monat einmal laufen zu lassen:)) laufen und dann sollte alles wieder tip top laufen:daumenhoc
freut mich das ich dir helfen konnte:)

400M 02.04.2008 21:41
Vielen Dank für deine super Hilfe. Du hast mich da echt gerettet.

Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19