TR/Sownlouder.GEN <--- Trojaner HILFE!

Diskutiere TR/Sownlouder.GEN <--- Trojaner HILFE! im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo, ich habe ein Problem mit einem Virus. Also ich habe meinen Computer komplett neu aufgesetzt. Alle Programme installiert, alles wunderbar....

  1. #1 comtom123, 06.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo,

    ich habe ein Problem mit einem Virus.
    Also ich habe meinen Computer komplett neu aufgesetzt.
    Alle Programme installiert, alles wunderbar.
    Antivir und Spybot S&D.
    Seit gestern findet mein Antivir immer das Trojanische Pferd TR/Downloader.GEN.
    Ich kann es auch immer löschen, aber nach 2 - 5 Minuten kommt die Meldung erneut, nur jedesmal heisst die .exe Datei anders. Die letztzen
    Namen waren: 24773515.exe, 24957296.exe, 25080828.exe, 25230000.exe oder 25661703.exe
    Wie werde ich das los?
    Bitte um mithilfe!!!
    Vielen Dank,

    Thomas
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 06.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
  4. #3 comtom123, 06.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    log File

    Hallo,
    hab das oben gepostete Programm ausgeführt. Hier die log file:

    Logfile of HijackThis v1.99.1
    Scan saved at 23:22:04, on 06.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Apps\Softex\OmniPass\Omniserv.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Apps\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\MIC\HAWAII\Hawaii.exe
    C:\Apps\Softex\OmniPass\scureapp.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Opera\Opera.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Corel\Graphics10\Programs\photopnt.exe
    C:\Programme\Corel\Graphics10\Programs\coreldrw.exe
    C:\Programme\Microsoft Office\office11\FRONTPG.EXE
    C:\WINDOWS\TEMP\win120.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Messenger\msmsgs.exe
    D:\DOKUME~1\ADMIN~1.COM\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rocking-chiemgau.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {07A87C45-EE2A-4BD5-8137-AB4BEDEDE5E2} - (no file)
    O2 - BHO: (no name) - {1B4B7754-7DD6-42C0-8A0B-F3414F990635} - (no file)
    O2 - BHO: (no name) - {1EF995D7-4598-457B-84B5-7CE83BEBE540} - (no file)
    O2 - BHO: (no name) - {1F252574-D53E-448C-9917-93134E77D89C} - (no file)
    O2 - BHO: (no name) - {2D3A69D8-4533-4A80-804B-37618939E176} - (no file)
    O2 - BHO: (no name) - {436BB1BA-2670-E517-F753-036968A4205F} - C:\Programme\Wwluhosm\ithkhxms.dll (file missing)
    O2 - BHO: (no name) - {438FA975-A32E-42C5-B141-2225681AAE89} - (no file)
    O2 - BHO: (no name) - {4E32F809-28C3-4693-BA5C-F6D6F029C700} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)
    O2 - BHO: (no name) - {5BB7C9B2-9417-4874-B5D7-D9F4AF9BEE0F} - C:\WINDOWS\system32\vturq.dll (file missing)
    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)
    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: (no name) - {A3FC7223-752E-495B-9951-CE360FA1180C} - (no file)
    O2 - BHO: (no name) - {B45CA0A0-DCE9-46D3-9686-17DCF573F97D} - (no file)
    O2 - BHO: (no name) - {B668FC48-3155-4CFA-A9EA-F12C360ADB1A} - (no file)
    O2 - BHO: (no name) - {D7A588AA-43E2-4CB9-B2E5-51405ED94C5A} - (no file)
    O2 - BHO: (no name) - {E2FE53CA-D312-4B74-8157-5F16E0876BA8} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: (no name) - {E5B125C2-7C6A-46B7-92A9-AFE0B66EAC90} - (no file)
    O2 - BHO: (no name) - {E6C35B9D-7705-4B9D-8434-E9C0A5F300F9} - (no file)
    O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\urqnlkl.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
    O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
    O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
    O4 - HKLM\..\Run: [ipmpsvsb] rundll32.exe "C:\Programme\ipmpsvsb\apsjqpyj.dll",Init
    O4 - HKLM\..\Run: [wtetidsf] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtetidsf.dll"
    O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
    O4 - HKLM\..\Run: [ivibcrmr] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ivibcrmr.dll"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win120.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [MalwareAlarm] C:\Program Files\MalwareAlarm\MalwareAlarm.exe
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -
    O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
    O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll
    O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
    O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
    O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\
    O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
    O21 - SSODL: E404Helper - {85de2b46-d903-4499-8c75-e1b5e744d622} - e404d.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


    Ich hoffe das Hilft weiter!
    Danke,

    Thomas
     
  5. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hui dein Pc ist ganz schön verseucht..

    Fangen wir an:

    1.)
    Fixe mit Hijackthis folgende Einträge(im abgesicherten Modus):

    Code:
    O21 - SSODL: E404Helper - {85de2b46-d903-4499-8c75-e1b5e744d622} - e404d.dll (file missing)
    O2 - BHO: (no name) - {07A87C45-EE2A-4BD5-8137-AB4BEDEDE5E2} - (no file)
    O2 - BHO: (no name) - {1B4B7754-7DD6-42C0-8A0B-F3414F990635} - (no file)
    O2 - BHO: (no name) - {1EF995D7-4598-457B-84B5-7CE83BEBE540} - (no file)
    O2 - BHO: (no name) - {1F252574-D53E-448C-9917-93134E77D89C} - (no file)
    O2 - BHO: (no name) - {2D3A69D8-4533-4A80-804B-37618939E176} - (no file)
    O2 - BHO: (no name) - {436BB1BA-2670-E517-F753-036968A4205F} - C:\Programme\Wwluhosm\ithkhxms.dll (file missing)
    O2 - BHO: (no name) - {438FA975-A32E-42C5-B141-2225681AAE89} - (no file)
    O2 - BHO: (no name) - {4E32F809-28C3-4693-BA5C-F6D6F029C700} - (no file)
    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)
    O2 - BHO: (no name) - {5BB7C9B2-9417-4874-B5D7-D9F4AF9BEE0F} - C:\WINDOWS\system32\vturq.dll (file missing)
    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)
    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: (no name) - {A3FC7223-752E-495B-9951-CE360FA1180C} - (no file)
    O2 - BHO: (no name) - {B45CA0A0-DCE9-46D3-9686-17DCF573F97D} - (no file)
    O2 - BHO: (no name) - {B668FC48-3155-4CFA-A9EA-F12C360ADB1A} - (no file)
    O2 - BHO: (no name) - {D7A588AA-43E2-4CB9-B2E5-51405ED94C5A} - (no file)
    O2 - BHO: (no name) - {E2FE53CA-D312-4B74-8157-5F16E0876BA8} - (no file)	
    O2 - BHO: (no name) - {E5B125C2-7C6A-46B7-92A9-AFE0B66EAC90} - (no file)
    O2 - BHO: (no name) - {E6C35B9D-7705-4B9D-8434-E9C0A5F300F9} - (no file)
    
    
    Wie fixe ich?
    *Starte Hijackthis
    *Starte ein Durchlauf
    *Danach erscheint das Logfile +Fenster mit mehreren Einträgen(O2 usw.)
    *Haken bei den entsprechenden Einträgen
    *Klicke auf "Fix Checked"


    PC neustarten.

    2.)
    Kennst du das Proggi MalwareAlarm?Wenn nicht unter Systemsteuerung->Software deinstallieren.
    Das gleiche gilt für das Programm SecCenter..Kennst du das? Wenn nicht auch deinstallieren.
    dann suchst du unter Software noch nach dem Programm "ipmpsvsb" und deinstallierst es ebenfalls.

    PC neustarten.


    3.)
    *Downloade Avenger.zip http://virus-protect.org/artikel/tools/avenger.html
    http://img458.imageshack.us/img458/3727/avengertr2.jpg
    *Entpacke es in einen eigenen Ordner

    Halte dich dabei an die Anleitung auf der Seite ..nicht die Haken vergessen.
    Die Lupe anklicken(View/edit script (wird sich öffnen))..
    da kopierst du rein:

    Code:
    Files to delete:
    D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtetidsf.dll
    D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ivibcrmr.dll
    C:\WINDOWS\TEMP\win120.exe
    C:\WINDOWS\Media\smartwarxyu.dll
    
    
    
    
    
    
    
    

    dann folgst du den Anweisungen auf der Seite und löscht schließlich die Backups.


    4.)
    Arbeitsplatz->
    Extras-->Ordneroptionen
    -Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
    -Geschützte Systemdateien ausblenden -> Haken weg
    -Inhalte von Systemordnern anzeigen -> Haken setzen
    -Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen


    such nach den Dateien:
    C:\WINDOWS\SYSTEM32\urqnlkl.dll
    C:\WINDOWS\SYSTEM32\winmqx32.dll

    wenn du sie gefunden hast , lädst du sie einzelnd auf www.virustotal.com hoch und wartest die Auswertung ab .


    Poste schließlich die beiden Ergebnisse der Scans +neues Hijackthis Logfile.


    Mfg
     
  6. #5 comtom123, 07.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo,

    hab alles so ausgeführt.
    hier die neuen log files:


    Logfile of HijackThis v1.99.1
    Scan saved at 14:36:00, on 07.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Apps\Softex\OmniPass\Omniserv.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Apps\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
    C:\Programme\MIC\HAWAII\Hawaii.exe
    C:\Apps\Softex\OmniPass\scureapp.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Opera\Opera.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    D:\DOKUME~1\ADMIN~1.COM\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rocking-chiemgau.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {07A87C45-EE2A-4BD5-8137-AB4BEDEDE5E2} - (no file)
    O2 - BHO: (no name) - {1B4B7754-7DD6-42C0-8A0B-F3414F990635} - (no file)
    O2 - BHO: (no name) - {1EF995D7-4598-457B-84B5-7CE83BEBE540} - (no file)
    O2 - BHO: (no name) - {1F252574-D53E-448C-9917-93134E77D89C} - (no file)
    O2 - BHO: (no name) - {2D3A69D8-4533-4A80-804B-37618939E176} - (no file)
    O2 - BHO: (no name) - {438FA975-A32E-42C5-B141-2225681AAE89} - (no file)
    O2 - BHO: (no name) - {4E32F809-28C3-4693-BA5C-F6D6F029C700} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)
    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)
    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: (no name) - {A3FC7223-752E-495B-9951-CE360FA1180C} - (no file)
    O2 - BHO: (no name) - {B45CA0A0-DCE9-46D3-9686-17DCF573F97D} - (no file)
    O2 - BHO: (no name) - {B668FC48-3155-4CFA-A9EA-F12C360ADB1A} - (no file)
    O2 - BHO: (no name) - {D7A588AA-43E2-4CB9-B2E5-51405ED94C5A} - (no file)
    O2 - BHO: (no name) - {E2FE53CA-D312-4B74-8157-5F16E0876BA8} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: (no name) - {E5B125C2-7C6A-46B7-92A9-AFE0B66EAC90} - (no file)
    O2 - BHO: (no name) - {E6C35B9D-7705-4B9D-8434-E9C0A5F300F9} - (no file)
    O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\urqnlkl.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
    O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
    O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [ipmpsvsb] rundll32.exe "C:\Programme\ipmpsvsb\apsjqpyj.dll",Init
    O4 - HKLM\..\Run: [wtetidsf] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtetidsf.dll"
    O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
    O4 - HKLM\..\Run: [ivibcrmr] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ivibcrmr.dll"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win120.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -
    O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
    O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll
    O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
    O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
    O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\
    O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    Die ganzen 02-BHO .... sind immer noch / Schon wieder da.

    die 2 .dll dateien habe ich hochgeladen, hier die adresse:
    http://www.virustotal.com/de/reanalisis.html?8e683aa07671113035d960d33a1f1a6c

    http://www.virustotal.com/de/reanalisis.html?efe54a14750cbc3f2ebbacad3145f7e2

    Eins von den 2 Programmen habe ich gelöscht (MalwareAlarm), das andere hab ich nicht gefunden.

    Wie schlimme ist es?
    und vor allem wie kommen die auf meinen PC?

    Echt super hilfe hier, vielen dank!

    Thomas
     
  7. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Bitte kopier das Ergebnis der beiden Scans direkt ins Forum.Die Links sind nicht lange genug aktiv;)


    Ok, kann mir aber schon denken,was hinter den Dateien steckt.
    Mach folgendes:
    *Lade und öffne KillBox
    *Kopiere den Pfad der Malware Datei z.B C:\WINDOWS\system32\xxyyy.dll rein -> Füge diesen in KillBox ein
    *Wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen z.B (C:\WINDOWS\system32\xxyyyy.dll). -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt
    *Lösche anschließend alle sich in C:\Killbox befindlichen Datein

    Folgende Pfade bitte nacheinander reinkopieren, so wie es in der Anleitung steht:
    C:\WINDOWS\Media\smartwarxyu.dll
    C:\WINDOWS\SYSTEM32\urqnlkl.dll
    C:\WINDOWS\SYSTEM32\winmqx32.dll
    --------------------------------------------------------------------
    folgende Einträge danach fixen:
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -
    O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -


    Installiere CleanUp http://www.comsafe.de/download.html -->Aufrufen-->Klicke auf "CleanUp" und lass das Proggi durchlaufen..


    neues Hijackthis Logfile posten


    Mfg
     
  8. #7 comtom123, 07.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    OK, erledigt.
    hier die neusten logfiles:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:29:07, on 07.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Apps\Softex\OmniPass\Omniserv.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Apps\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    C:\Programme\MIC\HAWAII\Hawaii.exe
    C:\Apps\Softex\OmniPass\scureapp.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\Opera\Opera.exe
    D:\DOKUME~1\ADMIN~1.COM\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rocking-chiemgau.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {07A87C45-EE2A-4BD5-8137-AB4BEDEDE5E2} - (no file)
    O2 - BHO: (no name) - {1B4B7754-7DD6-42C0-8A0B-F3414F990635} - (no file)
    O2 - BHO: (no name) - {1EF995D7-4598-457B-84B5-7CE83BEBE540} - (no file)
    O2 - BHO: (no name) - {1F252574-D53E-448C-9917-93134E77D89C} - (no file)
    O2 - BHO: (no name) - {2D3A69D8-4533-4A80-804B-37618939E176} - (no file)
    O2 - BHO: (no name) - {438FA975-A32E-42C5-B141-2225681AAE89} - (no file)
    O2 - BHO: (no name) - {4E32F809-28C3-4693-BA5C-F6D6F029C700} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)
    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)
    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: (no name) - {A3FC7223-752E-495B-9951-CE360FA1180C} - (no file)
    O2 - BHO: (no name) - {B45CA0A0-DCE9-46D3-9686-17DCF573F97D} - (no file)
    O2 - BHO: (no name) - {B668FC48-3155-4CFA-A9EA-F12C360ADB1A} - (no file)
    O2 - BHO: (no name) - {D7A588AA-43E2-4CB9-B2E5-51405ED94C5A} - (no file)
    O2 - BHO: (no name) - {E2FE53CA-D312-4B74-8157-5F16E0876BA8} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: (no name) - {E5B125C2-7C6A-46B7-92A9-AFE0B66EAC90} - (no file)
    O2 - BHO: (no name) - {E6C35B9D-7705-4B9D-8434-E9C0A5F300F9} - (no file)
    O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\urqnlkl.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
    O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
    O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [ipmpsvsb] rundll32.exe "C:\Programme\ipmpsvsb\apsjqpyj.dll",Init
    O4 - HKLM\..\Run: [wtetidsf] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtetidsf.dll"
    O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe
    O4 - HKLM\..\Run: [ivibcrmr] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ivibcrmr.dll"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win120.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll (file missing)
    O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
    O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
    O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\
    O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


    Thomas
     
  9. #8 ReinMan, 07.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    O2 - BHO: (no name) - {07A87C45-EE2A-4BD5-8137-AB4BEDEDE5E2} - (no file)

    O2 - BHO: (no name) - {1B4B7754-7DD6-42C0-8A0B-F3414F990635} - (no file)

    O2 - BHO: (no name) - {1EF995D7-4598-457B-84B5-7CE83BEBE540} - (no file)

    O2 - BHO: (no name) - {1F252574-D53E-448C-9917-93134E77D89C} - (no file)

    O2 - BHO: (no name) - {2D3A69D8-4533-4A80-804B-37618939E176} - (no file)

    O2 - BHO: (no name) - {438FA975-A32E-42C5-B141-2225681AAE89} - (no file)

    O2 - BHO: (no name) - {4E32F809-28C3-4693-BA5C-F6D6F029C700} - (no file)

    O2 - BHO: (no name) - {A3FC7223-752E-495B-9951-CE360FA1180C} - (no file)

    O2 - BHO: (no name) - {B45CA0A0-DCE9-46D3-9686-17DCF573F97D} - (no file)

    O2 - BHO: (no name) - {B668FC48-3155-4CFA-A9EA-F12C360ADB1A} - (no file)

    O2 - BHO: (no name) - {D7A588AA-43E2-4CB9-B2E5-51405ED94C5A} - (no file)

    O2 - BHO: (no name) - {E2FE53CA-D312-4B74-8157-5F16E0876BA8} - (no file)

    O2 - BHO: (no name) - {E6C35B9D-7705-4B9D-8434-E9C0A5F300F9} - (no file)

    O2 - BHO: (no name) - {E5B125C2-7C6A-46B7-92A9-AFE0B66EAC90} - (no file)

    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

    O4 - HKLM\..\Run: [wtetidsf] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtetidsf.dll"

    O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe

    O4 - HKLM\..\Run: [ivibcrmr] regsvr32 /u "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ivibcrmr.dll"

    O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll (file missing)

    O20 - Winlogon Notify: winmqx32 - winmqx32.dll (file missing)


    Oha da hast du ne Menge zu fixxen. Markiere alle Dateien und geh auf "Fixx check". Sonst ist dein Logfile sauber. Wenn du sie gefixxt hast bitte noch eins.

    Erst nochmal eins im normal Windowsbetrieb und danach eins im abgesicherten Modus drück während des Startvorgangs F8 und wähle abgesicherter Modus dann vergiss nicht die Systemwiedeherstellung zu aktivieren sonst befinden sich alle Schädlinge immernoch auf dem PC
     
  10. #9 comtom123, 07.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Logfile of HijackThis v1.99.1
    Scan saved at 15:45:53, on 07.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Apps\Softex\OmniPass\Omniserv.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Apps\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    C:\Programme\MIC\HAWAII\Hawaii.exe
    C:\Apps\Softex\OmniPass\scureapp.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Opera\Opera.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Messenger\msmsgs.exe
    D:\DOKUME~1\ADMIN~1.COM\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rocking-chiemgau.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)
    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)
    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\urqnlkl.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
    O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
    O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [ipmpsvsb] rundll32.exe "C:\Programme\ipmpsvsb\apsjqpyj.dll",Init
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win120.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
    O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
    O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


    So hab alles gefixed!
    Wars das jetzt?
    Vielen Dank!

    Thomas
     
  11. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Ok gut,einiges konnte wir entfernen.Wir kommen einem sauberen System langsam näher:p
    Die Anleitung von der Killbox hast du genau ausgearbeitet und auch keinen Pfad vergessen?
    1.)
    Geh in abgesicherten Modus->
    geh in folgenden Ordner:
    C:\WINDOWS\TEMP\win120.exe
    und versuch die exe manuell zu löschen.
    Rechner neustarten, dann schaust du ob das Ding noch da ist.
    2.)
    Sicher,dass du unter Systemsteuerung-->Software kein Eintrag namens ipmpsvsb findest? Schau nochmal genau nach und falls du einen findest , deinstallierst du diesen.

    3.)Öffne nochmals die Killbox.
    Kopiere den Pfad C:\Programme\ipmpsvsb\apsjqpyj.dll -> Füge diesen in KillBox ein
    *Wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'JA' beantworten -> und ein Neustart deines Systems wird durchgeführt
    *Lösche anschließend alle sich in C:\Killbox befindlichen Datein

    4.)Such nach der Datei C:\WINDOWS\SYSTEM32\urqnlkl.dll und lade sie nochma bei www.virustotal.com hoch und poste dieses Mal das Ergebnis ,anstatt direkt zu verlinken.

    5.)Poste ein neues Hijackthis Logfile+Ergebnis des Virustotal Scans.



    Mfg
     
  12. #11 comtom123, 07.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo,

    ja, ich glaube das Programm ipmpsvsb ist gelöscht, da beim neustart die Fehlermeldung erscheint, dass das Programm nicht gestartet werden kann.

    Das win120.exe konnte ich auch im abgesicherten modus nicht finden.

    hier das Ergebnis von virustotal:

    Antivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 2007.12.8.0 2007.12.07 -
    AntiVir 7.6.0.40 2007.12.07 -
    Authentium 4.93.8 2007.12.06 -
    Avast 4.7.1098.0 2007.12.06 -
    AVG 7.5.0.503 2007.12.07 BHO.CSY
    BitDefender 7.2 2007.12.07 Trojan.Vundo.DRN
    CAT-QuickHeal 9.00 2007.12.07 AdWare.Virtumonde.bhw (Not a Virus)
    ClamAV 0.91.2 2007.12.07 -
    DrWeb 4.44.0.09170 2007.12.07 Trojan.Virtumod.246
    eSafe 7.0.15.0 2007.12.06 -
    eTrust-Vet 31.3.5359 2007.12.07 -
    Ewido 4.0 2007.12.07 -
    FileAdvisor 1 2007.12.07 -
    Fortinet 3.14.0.0 2007.12.07 -
    F-Prot 4.4.2.54 2007.12.06 -
    F-Secure 6.70.13030.0 2007.12.07 -
    Ikarus T3.1.1.12 2007.12.07 not-a-virus:AdWare.Win32.Virtumonde.bhw
    Kaspersky 7.0.0.125 2007.12.07 not-a-virus:AdWare.Win32.Virtumonde.bhw
    McAfee 5179 2007.12.06 -
    Microsoft 1.3007 2007.12.07 -
    NOD32v2 2709 2007.12.07 Win32/Adware.Virtumonde
    Norman 5.80.02 2007.12.07 W32/Virtumonde.IYV
    Panda 9.0.0.4 2007.12.06 -
    Prevx1 V2 2007.12.07 TROJAN.AGENT.GEN
    Rising 20.21.42.00 2007.12.07 -
    Sophos 4.24.0 2007.12.07 Mal/Swizzor-B
    Sunbelt 2.2.907.0 2007.12.07 -
    Symantec 10 2007.12.07 Trojan.Vundo
    TheHacker 6.2.9.152 2007.12.07 -
    VBA32 3.12.2.5 2007.12.05 -
    VirusBuster 4.3.26:9 2007.12.07 Adware.Vundo.V.Gen
    Webwasher-Gateway 6.6.2 2007.12.07 Win32.UPXpacked.gen (suspicious)
    weitere Informationen
    File size: 37888 bytes
    MD5: bf49aaf5d83ee6f578dc999550c32683
    SHA1: 23fcfb839e5fcfc33bc310d56607f5a0666ef582
    PEiD: -
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=80753A6100EFAF0094E300DF3C6F9900E23855F9

    und hier mal wieder die logfile:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:06:37, on 07.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Apps\Softex\OmniPass\Omniserv.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Apps\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
    C:\Programme\MIC\HAWAII\Hawaii.exe
    C:\Apps\Softex\OmniPass\scureapp.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.exe
    C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Opera\Opera.exe
    D:\DOKUME~1\ADMIN~1.COM\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rocking-chiemgau.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)
    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)
    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\urqnlkl.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
    O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
    O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [ipmpsvsb] rundll32.exe "C:\Programme\ipmpsvsb\apsjqpyj.dll",Init
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win120.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
    O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
    O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    Wie schauts aus?

    Danke! Thomas
     
  13. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Ahja Virtumonde..Nicht so einfach zu entfernen das Kerlchen.
    Lade Vundofix
    Mfg
     
  14. #13 ReinMan, 07.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

    O2 - BHO: (no name) - {873B1320-9426-4349-8FC8-38F5F4CAB6CD} - (no file)

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

    O2 - BHO: (no name) - {5A168261-3A91-47F3-B8D7-26C3ECB7BDD4} - (no file)

    O2 - BHO: (no name) - {64CA4B52-42A7-409B-92FF-D65F53AAA1BF} - (no file)

    O2 - BHO: (no name) - {65F6EF99-2C36-42F8-8074-17F42DAC850B} - (no file)

    So die markierst du noch und gehst auf "Fixx check". Ansonsten hast du das gröbste jetzt weggekriegt
     
  15. #14 comtom123, 07.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    So,
    also das Programm VundoFix hat nichts gefunden.
    Die restlichen hab ich auch gelöscht.

    was heisst das Gröbste?
    Ist da noch was oder wars das jetzt?

    ich bedanke mich bei euch!

    Eine Frage noch wie konnte ich so infiziert werden, trotz antivir?

    Thomas
     
  16. #15 comtom123, 07.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Ich glaube, ich werde nich mehr froh.......

    Antivir hat was neues gefunden:

    In der Datei 'C:\WINDOWS\system32\jkhhf.dll'
    wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden.


    DANKE!
     
  17. #16 ReinMan, 07.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Läuft eventuell ein Prozess oder Anwendung die diese DLL ausführt ? hast du mal über Start>Suche> und dann den Namen eingegeben was darüber gefunden ? also laut Hijackthis ist jetzt alles weg. Hast du mal mit Spybot und Adaware nachgescannt ob die eventuell noch was finden ?
     
  18. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0


    Ne leider noch nicht..Das ist schlecht,dass Vundofix nichts gefunden hat ..Hmm..

    AntiVir,generell Virenproggis,natürlich mit Ausnahmen,können meistens eine Infizierung nicht verhindern, sonder nur auf eine hinweisen und ggf. löschen.Du darfst AntiVir nicht als totale Sicherheit sehen.
    Woher die Infektion herkam? Da gibt es viele Möglichkeiten..Über Zip Archive z.B , über angebliche seriöse Proggis und und Weitere Gefahrenquellen sind p2p- Programme wie Bearshare.

    Dass Antivir den Vundo gefunden hat , wundert mich ehrlich gesagt nicht. Vundo ist ein ziemlicher hartnäckiger Gegner und bedarf meistens viel Arbeit , um ihn wieder loszuwerden.
    Also fest steht , dass das Ding nicht von alleine auf deinen PC kommt , da musst du schon deine Finger im Spiel gehabt haben:p

    Die jkhhf.dll war zuvor noch nicht in den Hijackthis Logfiles zu erkennen,d.h entweder die anderen Dateien , die sich schon auf deinem PC befinden , haben die Datei nachgeladen oder du hast dir das Ding selber eingefangen.

    Versuch ma folgendes:

    -Lade dir das Tool hier herunter ->http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
    -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
    und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein.


    +neues Hijackthis Logfile

    @ReinMan:
    Also ich weiß nicht woran du im Hijackthis Logfile siehst , dass alles weg ist Oo..Lass das Logfile zum Beispiel auf hijackthis.de auswerten..Da wirst du sehen ,dass da noch eine Menge Fragezeichen stehen.
     
  19. #18 Leonixx, 07.12.2007
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aloha,

    hier ein Tool von Symantec für die Entfernung von Vundo. Kannst du auch mal testen, wie in der Anleitung beschrieben.

    Vundo Entfernungstool

    Oder, die dll vesteckt sich von HJT. Deswegen immer die Hijackthis.exe umbenennen in z.B. abc.exe. Ausserdem Systemwiederherstellung deaktivieren.

    Gruss Leonixx
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. #19 ReinMan, 07.12.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Ja ich werte jedes mal bei Hijackthis.de aus und ich nehme mal an das die Fragezeichen nur andeutden das ein Programm normalerweise in einem anderen Ordner läuft.. oder ein nicht bekanntes Programm läuft dann sollte er es versuchen manuell über den Taskmanager zu beenden.
     
  22. #20 comtom123, 08.12.2007
    comtom123

    comtom123 Neuer Benutzer

    Dabei seit:
    06.12.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Guten Morgen,

    so also das Vundo Entfernungsprogramm hat nichts gefunden.
    bei den log-files hab ich die 3 Verdächtigen einträge gelöscht.
    Es kommen nur noch sehr vereinzelt virenmeldungen von Antivir.

    hier eine aktuelle log-file:

    Logfile of HijackThis v1.99.1
    Scan saved at 13:18:29, on 08.12.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Apps\Softex\OmniPass\Omniserv.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Apps\Softex\OmniPass\OPXPApp.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Fingerprint Sensor\ATSwpNav.exe
    C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
    C:\Programme\MIC\HAWAII\Hawaii.exe
    C:\Apps\Softex\OmniPass\scureapp.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\FreePDF_XP\fpassist.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\ATI Technologies\ATI.ACE\cli.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Programme\Opera\Opera.exe
    D:\DOKUME~1\ADMIN~1.COM\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rocking-chiemgau.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O2 - BHO: (no name) - {FED51DF2-9644-4C58-9104-90244EDD6EEC} - C:\WINDOWS\system32\urqnlkl.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [ATICCC] "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
    O4 - HKLM\..\Run: [MM_MODULE] C:\Programme\MIC\HAWAII\Hawaii.exe
    O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
    O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
    O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
    O20 - Winlogon Notify: urqnlkl - C:\WINDOWS\SYSTEM32\urqnlkl.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


    die combofix konnte ich nicht herunterladen!

    Vielen Dank,

    Thomas
     
Thema: TR/Sownlouder.GEN <--- Trojaner HILFE!
Besucher kamen mit folgenden Suchen
  1. g lsass hotpice

Die Seite wird geladen...

TR/Sownlouder.GEN <--- Trojaner HILFE! - Ähnliche Themen

  1. Gamer PC Zusammenstellung. Hilfe und Rat !??!?!

    Gamer PC Zusammenstellung. Hilfe und Rat !??!?!: Guten Tag Leute, ich bräuchte mal eure Hilfe und zwar habe ich mir einen Rechner Zusammengestellt und wollte mal eure meinung höhren. Habe mal...
  2. Hilfe! Überfordert!

    Hilfe! Überfordert!: Hallo zusammen, Ich habe ein Problem, bei dem ich noch nicht mal sicher weiß, ob es sich um ein Software- oder Hardware-Problem handelt (also...
  3. Neuling braucht Hilfe bei Grafikkarte, Bluescreen/Absturz und Internet Baustellen

    Neuling braucht Hilfe bei Grafikkarte, Bluescreen/Absturz und Internet Baustellen: Hallo. Ich bin relativer Neuling in der Materie Hardware/Software... Vor wenigen Jahren ging meine Festplatte hinüber - warum auch immer... Ich...
  4. HILFE!Ati Catalyst Control Center gelöscht

    HILFE!Ati Catalyst Control Center gelöscht: Guten Morgen! Gestern habe ich einen riesigen Mist mit meinem Laptop angestellt... Ich wollte mehr Platz schaffen, weilschon andauernd die Meldung...
  5. Hilfe bei der Zusammenstellung

    Hilfe bei der Zusammenstellung: Hallo, Ich baue mir gerade einen Rechner zum zocken zusammen:...