Trojaner-Board - haxdoor troj. immer noch aufm rechner???

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - haxdoor troj. immer noch aufm rechner??? (https://www.trojaner-board.de/52641-haxdoor-troj-immer-noch-aufm-rechner.html)

haxdoor troj. immer noch aufm rechner???

Ich brauche eure Hilfe!!! Ich weiß, dass ich einen haxdoor Trojaner auf meinem Rechner habe oder hatte. Ich bin mir nicht sicher, weil ich auf ein Paar Sites war und dort stand, dass die nicht löschbar sind. Mein Antivirus Programm sagt, dass ich ihn erfolgreich gelöscht hab, aber ich trau der Sache nicht, da HiJackThis noch immer eine unsichere Datei anzeigt. Ich hab sie also auf meinem Rechner gesucht aber nichts gefunden. Wenn ihr eine Idee habt woran das liegen kann oder wie ich mir Sicherheit verschaffen kann schreibt bitte zurück.
Hier ist meine Logfiles von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:31, on 18.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Programme\Sygate\SPF\smc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5252 bytes

Danke im voraus

peter hansen

Hi,
stelle hier bitte Mal die Funde von Avast! ein, damit wir sehen können, welche Dateien gefunden und gelöscht wurden.
Außerdem wäre die genaue Bezeichnung des Trojaners hilfreich. :)

Dann sehen wir weiter. :)

lg myrtille

Zitat: Außerdem wäre die genaue Bezeichnung des Trojaners hilfreich.

ist haxdoor nicht die genaue bezeichnung???
bin gerade in der schule, also kann ich dir die avast funde noch nicht geben.

danke für deine meldung (sorry, dass ich dich "privat angeschrieben" hab)

so ich bin wieder zu hause

ich glaub mein avast hat die ergebnisse nicht gespeichert!:schmoll:

Zitat:

Zitat von peter hansen (Beitrag 339329)

Zitat: Außerdem wäre die genaue Bezeichnung des Trojaners hilfreich.

Es gibt 1000 Varianten von Haxdoor, daher wäre die genaue Meldung von Avast hilfreich, die Möglichkeiten ein wenig einzuschränken.

lg myrtille

EDIT: Avast hat die Daten sicherlich gespeichert. Ich muss gleich los, schau heute abend mal ob ich dir ne Anleitung geben kann.

Ich misch mich mal ein : Meinst Du den Backdoor Haxdoor ? @ peterhansen
BDS/Haxdoor.GA.12 - Vollstndig
BDS/Haxdoor.KG - Vollstndig
->Berichte von Avira ~

@Sternensucht: ich hab keine ahnung. mein vater hat einen brief von unserem online banking (sparkasse) bekommen und dort stand nur "haxdoor" . beim virenscan ist der name noch nicht aufgetaucht. hier sind die dateien, die als trojaner indentifiziert wurden: flashcft.dll ; droute.dll ;

@myrtille: ist gut ich bin dann gegen 18:00 uhr noch online oder die restliche zeit bis dahin...

danke euch beiden:)

gruß peter

Bitte den kompletten Pfad angeben!
Also C:\windows\bla\blubb\datei.exe.

Wenn die Dateien noch aufm Rechner sind, dann lad sie doch bitte bei virustotal hoch und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myrtille

der pfad war:

C:\windows\system32\flashcft.dll

C:\windows\system32\droute.dll

also flashcft.dll und droute.dll sind nicht mehr aufm rechner. ich glaub die hat avast! für mich gekillt. aber weil ich ja noch nicht weiss, wo ich den bericht herbekomme, weiss ich noch nicht was los ist.
kannst mir ja jetzt die anleitung schicken.

gruß

peter

Bin morgen wieder da!!

gruß peter

All gefundenen und isolierten Dateien solltest du im Virencontainer finden. Letzter Punkt in der Übersicht.

Mach bitte außerdem noch ne alternative Überprüfung deines Systems indem du:
MBAM und Silentrunners, sowie blacklight

Poste anschließend noch ein Log von Haxfix:

Lade dir haxfix
Führe es mit einem Doppelklick aus
Es erscheint nun ein Fenster mit der Auswahl:
- 1. Make logfile
- U. Uninstall Haxfix
- E. Exit Haxfix
Wähle 1
Poste das erscheinende Log hier und verlasse Haxfix, indem du E eingibst.

lg myrtille

hi

ok dann
ich lad mir die programme morgen.
muss jetzt schluss machen.

bis dann und danke

gruß peter:o

Hi
also hier ist der report von HaxFix:

HAXFIX logfile - by Marckie

version 5.01.1
24.05.2008 13:35:15,45
running from C:\HaxFix

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

--- Checking for Goldun ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking iexplore.exe
iexplore.exe is not infected

--- Checking for other Goldun and Haxdoor files ---
C:\WINDOWS\system32\kl80.bin
C:\WINDOWS\system32\ksl48.bin

--- Catchme logfile - thank you Gmer ---

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-24 13:35:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 57446

--- Analysing Catchme logfile ---

no matching regkeys found

Finished!

das black light hat auch nichts gefunden.:)

und das malwarebytes auch nicht. Hier ist trotzdem der report:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 767

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 93029
Scan Dauer: 49 minute(s), 37 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

warte auf deine antwort

grúß peter

Hi,

so recht will mir das alles noch nicht gefallen. Führe bitte noch folgendes Tool durch:

Lade dir SDFix herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
Starte deinen Rechner neu auf, in den abgesicherten Modus
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier

lg myrtille

hi,
wie start ich meinen rechner im abgesicherten modus???

und wenn ich ein y eingebe beendet sich das programm:confused:

Hi,
ich kann den Fehler im abgesicherten Modus nicht reproduzieren.

Beendet sich das Programm direkt, oder erscheint vorher noch Text?
Hast du das Programm im abgesicherten Modus gestartet? Ansonsten geht das Programm nicht.

Der Link zum Wechseln in den abgesicherten Modus befindet sich in meinem letzten Post.
Hier nochmal der Link: Link
Dort die Anleitung für Windows XP nehmen. (5. Punkt von oben)
Die Anleitung ganz durchlesen (immer auf weiter klicken) und dann das ganze am eigenen Rechner abarbeiten.

Wenns nicht klappt mit dem abgesicherten Modus, sag mir bitte wo genau du hängst.

lg myrtille

hi

konnter letzte zeit nicht an nen pc, sorry:o

naja ich hab das mit dem SDFix gemacht. Hier ist der Report:

SDFix: Version 1.185
Run by Jochen on 04.06.2008 at 15:26

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\kl80.bin - Deleted
C:\WINDOWS\system32\rhs.bin - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 15:34:56
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:explorer"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:explorer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Thu 15 May 2003 43,008 A..H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Tue 20 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0af87e1622595cbc853f10637d5ef41f\BIT15.tmp"

Finished!

Hoffe du kannst was damit anfangen.

hier sind meine avastfunde:

Initialisierung von Container-Dateien
------------------------------------------------------------------------------------------
Programm versucht Laden aller Container-Dateien von folgendem Server: (null)
DateiID: 0000000001 Original Datei-Name: C:\WINDOWS\system32\kernel32.dll Datei-Kategorie: 0
DateiID: 0000000002 Original Datei-Name: C:\WINDOWS\system32\winsock.dll Datei-Kategorie: 0
DateiID: 0000000003 Original Datei-Name: C:\WINDOWS\system32\wsock32.dll Datei-Kategorie: 0
DateiID: 0000000004 Original Datei-Name: C:\WINDOWS\system32\kernel32.dll Datei-Kategorie: 0
DateiID: 0000000005 Original Datei-Name: C:\WINDOWS\system32\kernel32.dll Datei-Kategorie: 0
DateiID: 0000000006 Original Datei-Name: C:\WINDOWS\system32\wsock32.dll Datei-Kategorie: 0
------------------------------------------------------------------------------------------
Aktion wurde erfolgreich beendet!

Bitte schreib bald zurück und danke

gruß peter:D

upps wollt nur einmal schreiben:o:o!?

peter

Hi,
ja das ist schonmal ganz gut.
Erstell bitte ein Log mit DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

Sollte schnell gehen. Wenn in dem Log nichts zu sehen ist, würde ich vermuten, dass der Haxdoor weg ist.

lg myrtille

ey yo danke
werd ich gleich ma ausprobieren!!

danke nochma

gruß peter

hi da bin ich wieder.

hier sind die reporte

ich schreib 2 ma, weil es sonst zu lang is.

hier von extra.txt :::

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Sempron(tm) 2200+
Percentage of Memory in Use: 72%
Physical Memory (total/avail): 255.48 MiB / 69.68 MiB
Pagefile Memory (total/avail): 617.28 MiB / 314.68 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1914.63 MiB

C: is Fixed (NTFS) - 29.45 GiB total, 16.9 GiB free.
D: is Fixed (NTFS) - 7.81 GiB total, 7.77 GiB free.
E: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - WDC WD400BB-00JKA0 - 37.27 GiB - 2 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 29.45 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 7.81 GiB - D:

-- Security Center -------------------------------------------------------------

AUOptions is set to notify before install.

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=E09FDB7C9CE745F
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Jochen
LOGONSERVER=\\E09FDB7C9CE745F
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Jochen\LOKALE~1\Temp
TMP=C:\DOKUME~1\Jochen\LOKALE~1\Temp
USERDOMAIN=E09FDB7C9CE745F
USERNAME=Jochen
USERPROFILE=C:\Dokumente und Einstellungen\Jochen
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

Jochen (admin)
Administrator (new local, admin)

-- Add/Remove Programs ---------------------------------------------------------

--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2638924D-DC58-4C40-BB1C-48C2B24B7B1B}\Setup.exe" -L0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{52739387-B81C-4C55-9593-EB7A1044A657}\Setup.exe" -L0x7
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Download Manager 1.2 (Nur entfernen) --> "C:\Programme\Gemeinsame Dateien\Adobe\ESD\uninst.exe"
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 6.0 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-000000000001}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
avast! Antivirus --> C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
C-Media 3D Audio --> C:\WINDOWS\CMIUnInstall.exe
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
com! Update Pack Builder 2008 1.0.4 --> "C:\Programme\com! Update Pack Builder 2008\unins000.exe"
DAO 3.5/3.6 --> C:\WINDOWS\IsUn0407.exe -f"C:\Programme\Gemeinsame Dateien\Lexware\Dao\Uninst.isu"
Destruction Madness --> C:\Programme\Davilex Games\Destruction Madness\uninst.exe
ElsterFormular 2005/2006 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1C27C64B-D5CF-4881-A310-0BD2A0D21927}\setup.exe" -l0x7 -removeonly
ElsterFormular 2006/2007 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}\setup.exe" -l0x7 -removeonly
ElsterFormular 2007/2008 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly
Galxie Diktattrainer 5-6 --> C:\WINDOWS\IsUn0407.exe -f"C:\CSoft\Galaxie Diktattrainer\Galaxie Diktattrainer 5-6\Uninst.isu"
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\programme\google\googletoolbar3.dll"
Haufe iDesk-Browser --> MsiExec.exe /X{A1B80495-4ED3-4ED0-BD57-7F9E0A0EDF35}
Haufe iDesk-Service --> MsiExec.exe /X{E706D4DA-8463-412A-BEF7-A63D1A72CED8}
HaufeReader --> C:\WINDOWS\IsUn0407.exe -fC:\Programme\Haufe\HaufeReader\HaufeReader.isu
HijackThis 2.0.2 --> "E:\INTERNET\TROJANER\HijackThis.exe" /uninstall
J2SE Runtime Environment 5.0 Update 4 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040}
J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Kaspersky Anti-Virus Personal --> "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\uninstall.exe"
Lexware Elster --> MsiExec.exe /I{6845AE3B-EB95-46DE-A190-EAB8D7764C60}
Lexware financial office 2008 --> C:\Programme\InstallShield Installation Information\{520CC748-9867-498E-A257-B6112952A65E}\setup.exe -runfromtemp -l0x0007 -removeonly
Lexware financial office Aktualisierung Februar 2008, Version 12.20 --> C:\Programme\InstallShield Installation Information\{41EBCCBE-1FAD-40AD-A8B6-BD292DB683A4}\setup.exe -runfromtemp -l0x0007 -removeonly
Lexware Info Service --> MsiExec.exe /I{BEDFB0D0-CA1E-4CBA-9664-B25A74019D0C}
Lexware know how buchhaltung mini --> C:\WINDOWS\IsUn0407.exe -fC:\Programme\Lexware\Lxoffice\khb_buha_m\KHB_BH_M.isu
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual J# .NET Redistributable Package 1.1 --> MsiExec.exe /X{1A655D51-1423-48A3-B748-8F5A0BE294C8}
Norton™ Security Scan --> MsiExec.exe /I{DA15D535-5E1D-4076-B520-8571346D6238}
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
One-Click-Privacy --> C:\WINDOWS\st6unst.exe -n "C:\Programme\One-Click-Privacy\ST6UNST.LOG"
OpenOffice.org Installer 1.0 --> MsiExec.exe /X{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
SereneScreen Aquarium --> C:\Programme\SereneScreen\Aquarium\unins000.exe
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sophos Anti-Rootkit 1.3.1 --> C:\Programme\Sophos\Sophos Anti-Rootkit\helper.exe remove
Steuer 2003 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FDA50F66-14C7-4479-93FB-A2DE1182A350}\setup.exe"
Steuer 2004 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E381EE73-620E-11D8-9EB9-0001021625FE}\setup.exe"
Steuer 2005 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AFC3A257-7C7A-484B-A702-8AA05A6CE43F}\Setup.exe" -l0x7 -removeonly
Steuer 2006 --> C:\Programme\InstallShield Installation Information\{123D40B5-66EF-4F41-A2BA-0B74D0D1C8B3}\Setup.exe -runfromtemp -l0x0007 -removeonly
Steuer Hilfesammlung --> C:\WINDOWS\IsUn0407.exe -fC:\LEXWARE\STEUER2003\ST_VAR\ST_VAR.isu
Steuer Hilfesammlung Version 12 --> C:\WINDOWS\IsUn0407.exe -fC:\PROGRAMME\LEXWARE\STEUER2005\VAR_06\VAR_06.isu
Steuer Hilfesammlung Version 2 --> C:\WINDOWS\IsUn0407.exe -f"C:\Lexware\Steuer Hilfesammlung Version 2\VAR_05\VAR_05.isu"
sv.net --> C:\PROGRA~1\svnet\UNWISE.EXE C:\PROGRA~1\svnet\INSTALL.LOG
T-Online 6.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B1275E23-717A-4D52-997A-1AD1E24BC7F3}\setup.exe" CPAS
T-Online WLAN-Access Finder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{295C31E5-3F91-498E-9623-DA24D2FA2B6A}\Setup.exe" -L0x7
Tony Hawk's American Wasteland --> MsiExec.exe /I{3293C06B-003F-4027-8380-FFD79E38167D}
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
ZoneAlarm Pro --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe

-- Application Event Log -------------------------------------------------------

Event Record #/Type2460 / Error
Event Submitted/Written: 06/04/2008 03:45:26 PM
Event ID/Source: 5003 / TrueVector Service
Event Description:
TrueVector driver: Driver install or load failure: LoadNTDeviceDriver. Win32 error: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Event Record #/Type2457 / Error
Event Submitted/Written: 06/04/2008 03:11:54 PM
Event ID/Source: 5003 / TrueVector Service
Event Description:
TrueVector driver: Driver install or load failure: LoadNTDeviceDriver. Win32 error: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Event Record #/Type2454 / Error
Event Submitted/Written: 06/04/2008 02:51:37 PM
Event ID/Source: 5003 / TrueVector Service
Event Description:
TrueVector driver: Driver install or load failure: LoadNTDeviceDriver. Win32 error: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Event Record #/Type2451 / Error
Event Submitted/Written: 06/03/2008 07:12:20 PM
Event ID/Source: 5003 / TrueVector Service
Event Description:
TrueVector driver: Driver install or load failure: LoadNTDeviceDriver. Win32 error: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

Event Record #/Type2448 / Error
Event Submitted/Written: 06/03/2008 06:04:02 PM
Event ID/Source: 5003 / TrueVector Service
Event Description:
TrueVector driver: Driver install or load failure: LoadNTDeviceDriver. Win32 error: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type1321 / Warning
Event Submitted/Written: 06/04/2008 04:24:18 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Event Record #/Type1320 / Error
Event Submitted/Written: 06/04/2008 03:44:46 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Event Record #/Type1302 / Error
Event Submitted/Written: 06/04/2008 03:32:32 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler beendet:
%%2

Event Record #/Type1301 / Error
Event Submitted/Written: 06/04/2008 03:32:32 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1058

Event Record #/Type1300 / Error
Event Submitted/Written: 06/04/2008 03:32:13 PM
Event ID/Source: 104 / SRService
Event Description:
Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.

-- End of Deckard's System Scanner: finished at 2008-06-04 16:44:27 ------------

nächste kommt jetzt....

soooo

hier von der main.txt datei ::.

Deckard's System Scanner v20071014.68
Run by Jochen on 2008-06-04 16:39:39
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Failed to create restore point; System Restore is disabled (service is not running).

Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 256 MiB (512 MiB recommended).

-- HijackThis (run as Jochen.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:55, on 04.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\Jochen\Desktop\Anti Trojaner\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Jochen.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6132 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080510-200224-203 O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO.dll
backup-20080510-200224-651 O20 - Winlogon Notify: droute - C:\WINDOWS\SYSTEM32\droute.dll
backup-20080510-200225-128 O20 - Winlogon Notify: flashcft - C:\WINDOWS\SYSTEM32\flashcft.dll
backup-20080510-200423-104 O20 - Winlogon Notify: flashcft - C:\WINDOWS\SYSTEM32\flashcft.dll
backup-20080510-200628-118 O20 - Winlogon Notify: flashcft - C:\WINDOWS\SYSTEM32\flashcft.dll
backup-20080518-203015-561 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 Klmc - c:\windows\system32\drivers\klmc.sys <Not Verified; Kaspersky Lab; Kaspersky Anti-Virus Personal>
R3 catchme - c:\dokume~1\jochen\lokale~1\temp\catchme.sys (file missing)

S3 MACNDIS5 (MACNDIS5 NDIS Protocol Driver) - c:\programme\gemeinsame dateien\marmiko shared\macndis5.sys <Not Verified; Marmiko IT-Solutions GmbH; Marmiko NDis Helper for Windows>
S3 MEMSWEEP2 - c:\windows\system32\51.tmp (file missing)
S3 MIINPazX (MIINPazX NDIS Protocol Driver) - c:\programme\gemeinsame dateien\marmiko shared\minfrais\miinpazx.sys <Not Verified; Deutsche Telekom AG, Marmiko IT-Solutions GmbH; Marmiko InfraIS Module>
S3 MTOnlPktAlyX (MTOnlPktAlyX NDIS Protocol Driver) - c:\programme\t-online\t-online_software_6\basis-software\basis1\mtonlpktalyx.sys <Not Verified; Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH; T-Online Dialer Module>

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 kavsvc - c:\programme\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe <Not Verified; Kaspersky Lab; Kaspersky Anti-Virus Personal>
R2 MZCCntrl (T-Online WLAN Adapter Steuerungsdienst) - c:\programme\gemeinsame dateien\marmiko shared\mzccntrl.exe <Not Verified; Deutsche Telekom AG, Marmiko IT-Solutions GmbH; T-Online WLAN Adapter Steuerung>

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Scheduled Tasks -------------------------------------------------------------

2007-10-08 11:15:44 394 --a------ C:\WINDOWS\Tasks\Norton Security Scan.job

-- Files created between 2008-05-04 and 2008-06-04 -----------------------------

2008-06-04 15:22:22 0 d-------- C:\WINDOWS\ERUNT
2008-05-24 12:58:40 0 d-------- C:\WINDOWS\system32\de-de
2008-05-24 12:58:35 0 d-------- C:\WINDOWS\l2schemas
2008-05-24 12:58:34 0 d-------- C:\WINDOWS\system32\de
2008-05-24 12:58:34 0 d-------- C:\WINDOWS\system32\bits
2008-05-24 12:55:31 0 d-------- C:\WINDOWS\ServicePackFiles
2008-05-24 12:53:30 0 d-------- C:\WINDOWS\network diagnostic
2008-05-21 18:03:17 0 d-------- C:\22a16953b4e7d210b1667a
2008-05-21 17:54:32 0 d-------- C:\Programme\MSXML 4.0
2008-05-21 17:36:44 449462 --a------ C:\HaxFix.exe <Not Verified; Marckie; >
2008-05-21 17:36:43 0 d-------- C:\HaxFix
2008-05-20 21:29:39 0 d-------- C:\WINDOWS\system32\PreInstall
2008-05-19 18:42:39 0 d-------- C:\Programme\One-Click-Privacy
2008-05-19 18:38:54 74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows>
2008-05-19 17:29:01 0 d-------- C:\Programme\Sun
2008-05-19 16:19:36 0 d-------- C:\Programme\CCleaner
2008-05-19 15:29:00 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-18 21:06:08 0 d-------- C:\Programme\Sophos
2008-05-18 19:57:31 0 d--h----- C:\WINDOWS\$hf_mig$
2008-05-17 17:24:13 0 d-------- C:\WINDOWS\system32\SoftwareDistribution
2008-05-17 17:05:47 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-10 21:41:18 0 d-------- C:\Programme\Alwil Software

-- Find3M Report ---------------------------------------------------------------

2008-05-30 16:15:28 415470 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-30 16:15:28 74996 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-24 12:59:05 0 d-------- C:\Programme\Messenger
2008-05-24 12:58:34 0 d-------- C:\Programme\Movie Maker
2008-05-24 12:55:13 0 d-------- C:\Programme\Windows NT
2008-05-19 18:44:10 0 d-------- C:\Programme\dakotaag
2008-05-19 17:55:18 0 d-------- C:\Programme\Java
2008-05-19 15:29:16 0 d-------- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Malwarebytes
2008-05-15 18:09:32 6 --a------ C:\WINDOWS\system32\ksl48.bin
2008-05-05 22:51:40 0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-05 22:36:14 0 d-------- C:\Programme\Gemeinsame Dateien\Lexware
2008-04-15 15:08:34 6 --a------ C:\WINDOWS\system32\opnxp.bin

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [13.07.2004 02:50]
"nwiz"="nwiz.exe" [13.07.2004 02:50 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [13.07.2004 02:50]
"Cmaudio"="cmicnfg.cpl" []
"Zone Labs Client"="C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe" [18.11.2003 10:08]
"KAVPersonal50"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [17.06.2004 18:38]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [25.09.2007 14:59]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16.05.2008 01:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [26.08.2007 14:45]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [30.07.2007 14:27]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [25.09.2007 14:59:52]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\flashcft]
flashcft.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv Tapisrv
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

-- End of Deckard's System Scanner: finished at 2008-06-04 16:44:27 ------------

bis dann und danke

gruß peter:D

Bitte hiermit weitermachen, da sind noch Dateien von Haxdoor auf deinen Rechner:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mjy0mthybjrp/avenger.bmp

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

Files to delete:

C:\WINDOWS\system32\ksl48.bin

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

yo danke

weiß aba nich, ob ich es heut noch schaffe.

trotzdem danke

gruß peter

Das sollte ganz schnell gehen ;)

Erstelle danach bitte noch ein neues Log mit DSS und poste beide Logs (also Avenger und DSS) hier.

lg myrtille

hi
ging wirklich schnell:lach:

hier der report von Avenger :::

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ksl48.bin" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

von dss hab ich nur einen report, nämlich main.txt :::

Deckard's System Scanner v20071014.68
Run by Jochen on 2008-06-04 18:02:18
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Percentage of Memory in Use: 89% (more than 75%).
Total Physical Memory: 256 MiB (512 MiB recommended).

-- HijackThis (run as Jochen.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:57, on 04.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Dokumente und Einstellungen\Jochen\Desktop\Anti Trojaner\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Jochen.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6518 bytes

-- Files created between 2008-05-04 and 2008-06-04 -----------------------------

2008-06-04 15:22:22 0 d-------- C:\WINDOWS\ERUNT
2008-05-24 12:58:40 0 d-------- C:\WINDOWS\system32\de-de
2008-05-24 12:58:35 0 d-------- C:\WINDOWS\l2schemas
2008-05-24 12:58:34 0 d-------- C:\WINDOWS\system32\de
2008-05-24 12:58:34 0 d-------- C:\WINDOWS\system32\bits
2008-05-24 12:55:31 0 d-------- C:\WINDOWS\ServicePackFiles
2008-05-24 12:53:30 0 d-------- C:\WINDOWS\network diagnostic
2008-05-21 18:03:17 0 d-------- C:\22a16953b4e7d210b1667a
2008-05-21 17:54:32 0 d-------- C:\Programme\MSXML 4.0
2008-05-21 17:36:44 449462 --a------ C:\HaxFix.exe <Not Verified; Marckie; >
2008-05-21 17:36:43 0 d-------- C:\HaxFix
2008-05-20 21:29:39 0 d-------- C:\WINDOWS\system32\PreInstall
2008-05-19 18:42:39 0 d-------- C:\Programme\One-Click-Privacy
2008-05-19 18:38:54 74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows>
2008-05-19 17:29:01 0 d-------- C:\Programme\Sun
2008-05-19 16:19:36 0 d-------- C:\Programme\CCleaner
2008-05-19 15:29:00 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-18 21:06:08 0 d-------- C:\Programme\Sophos
2008-05-18 19:57:31 0 d--h----- C:\WINDOWS\$hf_mig$
2008-05-17 17:24:13 0 d-------- C:\WINDOWS\system32\SoftwareDistribution
2008-05-17 17:05:47 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-10 21:41:18 0 d-------- C:\Programme\Alwil Software

-- Find3M Report ---------------------------------------------------------------

2008-05-30 16:15:28 415470 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-30 16:15:28 74996 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-24 12:59:05 0 d-------- C:\Programme\Messenger
2008-05-24 12:58:34 0 d-------- C:\Programme\Movie Maker
2008-05-24 12:55:13 0 d-------- C:\Programme\Windows NT
2008-05-19 18:44:10 0 d-------- C:\Programme\dakotaag
2008-05-19 17:55:18 0 d-------- C:\Programme\Java
2008-05-19 15:29:16 0 d-------- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Malwarebytes
2008-05-05 22:51:40 0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-05 22:36:14 0 d-------- C:\Programme\Gemeinsame Dateien\Lexware
2008-04-15 15:08:34 6 --a------ C:\WINDOWS\system32\opnxp.bin

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [13.07.2004 02:50]
"nwiz"="nwiz.exe" [13.07.2004 02:50 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [13.07.2004 02:50]
"Cmaudio"="cmicnfg.cpl" []
"Zone Labs Client"="C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe" [18.11.2003 10:08]
"KAVPersonal50"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [17.06.2004 18:38]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [25.09.2007 14:59]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16.05.2008 01:19]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 04:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 07:52]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [26.08.2007 14:45]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [30.07.2007 14:27]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [25.09.2007 14:59:52]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\flashcft]
flashcft.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv Tapisrv
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

-- End of Deckard's System Scanner: finished at 2008-06-04 18:06:24 ------------

schreib bitte schnell zurück

danke und gruß

peter

Hi,

Fixen

Hijackthis aufrufen
Do a system scan only anklicken
Haken vor die zu fixenden Einträge setzen

Zitat:

O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
Unten auf Fix checked klicken

Einen letzten Scan noch:

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden

Gmer

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Wenn der Rapport sauber ist, würd ich sagen Haxdoor ist weg. :)

lg myrtille

hi
der report ist einfach zu groß. ich kann ihn auch nicht hochladen.

darf ich dir vielleicht einmal ne email schicken?????

gruß peter

Du hast PM ;)

lg myrtille

wie soll ich das mit dem file-upload machen:o???
ich schick lieber an diese email adresse die du mir gegeben hast.

gruß peter

Ok :) Schick mir die Datei per Mail zu.

~~~~~~

File-Upload ist ein Dienst, bei dem man Dateien hochladen kann.
Dort auf "Durchsuchen" gehen und dann "Datei hochladen". Vorher muss man den AGB zustimmen.

Somit liegt die Datei auf einem Server und kann von jedem abgerufen werden, dem du den Link gibst.
Wenn du die Datei hochgeladen hast, wird dir außerdem noch ein Link angegeben mit der du die Datei wieder löschen kannst, falls du die Datei nicht mehr öffentlich zugänglich machen willst.

Wenn du außerdem noch eine Email angibst, wird dir dieser Link auch zugeschickt, damit du ihn nich verlierst.
Es ist aber nicht notwendig die Email anzugeben.

lg myrtlle

hi

hab dir die mail geschickt. kannste ja ma checken. weiß nich wann ich schluss machen muß, deshalb wäre es nett, wenn du bald antworten würdest.

gruß peter:D

Hi,
das sieht gut aus. :)

Ich denke Haxdoor sollte weg sein.
Du kannst die genutzten Programme jetzt deinstallieren:
Hijackthis &Malwarebytes einfach über Start->Systemsteuerung->Software deinstallieren
Haxfix nochmal ausführen und uninstall wählen
DSS kannst du einfach löschen.

Deaktiviere danach bitte noch deine Systemwiederherstellung (Start->Systemsteuerung->System->Systemwiederherstellung->Systemwiederherstellung auf allen Laufwerken deaktivieren) und fahre deinen Rechner herunter. Beim nächsten Neustart, kannst du die Systemwiederherstellung wieder aktivieren.

Ändere auf jedenfall noch alle Passwörter, die du von dem befallenem Rechner aus eingegeben hast!
Das sollte es dann gewesen sein :)

lg myrtille

ICH LIEBE DICH:crazy::Boogie::huepp::juul:

ohne deine hilfe hätt ich das nich geschafft. 1000 dank
du hast das einfach super gemacht:aplaus:

Nochma danke, danke und nochma danke

gruß peter

PS meinst du ich kann anderen auch bei verschieden problemen helfen??

Hi,
prinzipiell darf hier jeder posten soviel er will. :)

Wenn du also etwas weißt und dieses Wissen teilen möchtest, bist du herzlich willkommen. :)

Deine Posts müssen nur den NUB entsprechen und du solltest, wenn du anfängst Hilfe zu leisten auch in den nächsten Tagen da sein, um eventuelle Rückfragen beantworten zu können.

lg myrtille

yo danke

gruß peter