System32, Würmer und Spyware infection?

[Juvienne]

Sorry, habe gerade den archiv thread über genau dieses Problem entdeckt und werde erstmal den remover versuchen. Tut mir leid, daß mein erster post gleich unnötig ist...


Hallo!

Es gibt zwar bereits ein Thema zu diesem Problem, allerdings hat dort noch niemand das angeforderte Log gepostet. Deshalb und wegen der Aufforderung, daß pro Problem und PC ein neuer Thread aufgemacht werden soll, hier also im Folgenden mein Log.
Es handelt sich bei dem Problem darum, daß ich seit ein paar Tagen irgendwas auf meinem Rechner habe, was sowohl mein Desktop-Hintergrund mit der angeblichen Nachricht geändert hat:

Spyware infection - Your system is infected with spyware. Windows recommends you to use a spyware removal tool to prevent loss of data and increase system performance. Using this PC before having it cleaned from spyware threats is highly discouraged.

...und sich nun auch nicht mehr ändern lässt. Außerdem werde ich mit Pop-ups bombadiert und es erscheint dauernd ein angeblicher Windows-Warnhinweis, daß mein System infiziert sei etc. Klickt man es an, wird man auf eine Seite mit einem Anti-Spyware-Programm ("Spysheriff") gelotst, welches man für teuer Geld downloaden kann. Da ich mich auch nur rudimentär mit meinem Computer auskenne, bedarf ich dringend fachmännischer Hilfe. Danke schonmal im Vorraus!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 01:43:22, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\ntmp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\winya.exe
C:\DOKUME~1\Mathias\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {0AA13D05-4B32-5457-1F77-A94E37FEE4D1} - C:\WINDOWS\system32\appol.dll
O2 - BHO: Class - {DF83D71D-7E3C-905C-49E6-8B0B8142868F} - C:\WINDOWS\ntro32.dll
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winyp32.exe] C:\WINDOWS\winyp32.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [d3xc32.exe] C:\WINDOWS\d3xc32.exe
O4 - HKLM\..\Run: [mstf32.exe] C:\WINDOWS\mstf32.exe
O4 - HKLM\..\Run: [winhc.exe] C:\WINDOWS\winhc.exe
O4 - HKLM\..\Run: [ntmp.exe] C:\WINDOWS\ntmp.exe
O4 - HKLM\..\RunOnce: [winya.exe] C:\WINDOWS\winya.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {2A781DED-C22D-4153-9812-CEA98A32981C} (GameDesire Makao) - http://67.15.101.3/g_bin/eng/cardsmakao_2_0_0_18.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_21.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/eng/navy_2_0_0_17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103045251375
O16 - DPF: {881290B9-F53C-4676-8DAF-3DBEFC297308} (GameDesire Makao) - http://67.15.101.3/g_bin/eng/makao_2_0_0_15.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85FD7131-00AB-432F-9DE9-23CE6A4AE50E}: NameServer = 212.18.3.5 212.18.0.5
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winaq32.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Ruby]

Hallo Juvienne

du hast sehr viele neue Malware-Dateien auf deinem Rechner, die wir erst einer sehr gründlichen Prüfung unterziehen müssen. Es kann sein, dass sich das Bild des Smitfraud wieder einmal ändert. Um gegen ihn helfen zu können, müssen wir die neue Malware kennen.

Kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade bitte diese Dateien zuerst hoch

C:\WINDOWS\ntmp.exe
C:\WINDOWS\winya.exe
C:\WINDOWS\system32\lynvu.dll
C:\WINDOWS\system32\appol.dll
C:\WINDOWS\ntro32.dll
C:\WINDOWS\winyp32.exe
C:\WINDOWS\d3xc32.exe
C:\WINDOWS\mstf32.exe
C:\WINDOWS\winhc.exe

1. -> Upload malicious software (*)
2. -> ST-Adware-Upload (*)

(*) Wenn du zum hochladen ein Zip-Programm benötigst, SIMPLYZIP ist kostenlos.

3. Scanne >>diese<< Dateien nun mit HJT sowie mit Virustotal und/oder Jotti

C:\WINDOWS\ntmp.exe
C:\WINDOWS\winya.exe
C:\WINDOWS\system32\lynvu.dll
C:\WINDOWS\system32\appol.dll
C:\WINDOWS\ntro32.dll
C:\WINDOWS\winyp32.exe
C:\WINDOWS\d3xc32.exe
C:\WINDOWS\mstf32.exe
C:\WINDOWS\winhc.exe

Melde dich und lass uns wissen, ob der Upload zu beiden Adressen (!) funktioniert hat.
Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit.

Bitte den/die Remover noch nicht anwenden.
Wir brauchen erst die malware von deinem Rechner!

[Juvienne]

Ok, habe den Remover noch nicht benutzt.

Konnte leider auch:

C:\WINDOWS\d3xc32.exe
C:\WINDOWS\mstf32.exe
C:\WINDOWS\winhc.exe

nicht finden und:

C:\WINDOWS\winyp32.exe

nur als:

WINYP32.EXE-36D20EDF.pf

Für die anderen Dateien ergaben sich folgende Zwischenergebnisse:

Code:

Check a file
Checked file appol.dll
Filesize: 86687 Bytes
MD5-Hashvalue: 7d3d90e1b67da218133a38cbee79c7c8
=======================================
F-Prot Antivirus: No virus found.
Clam AV: No virus found.
VirusBlokAda: No virus found.


Check a file
Checked file lynvu.dll
Filesize: 66048 Bytes
MD5-Hashvalue: 5137cf12f3fa250ee2fc8aaea8555619
=======================================
F-Prot Antivirus: Virus scanning report  -  8 December 2005 @ 3:30

F-PROT ANTIVIRUS
Program version: 4.5.4
Engine version: 3.16.6

VIRUS SIGNATURE FILES
SIGN.DEF created 7 December 2005
SIGN2.DEF created 7 December 2005
MACRO.DEF created 7 December 2005

Search: /lynvu.dll
Action: Report only
Files: "Dumb" scan of all files
Switches: -ARCHIVE -PACKED -SERVER

/lynvu.dll  is a destructive program named W32/Startpage.ATC

Clam AV: Trojan.Startpage-265 FOUND
VirusBlokAda: Official beta tester
License #000000119 Valid till 31.12.2005
Command line options:
-af+ -ha+ -rw+
Loaded 130661 virus definitions.
Ctrl-C will terminate program execution

/lynvu.dll
/lynvu.dll : infected AdWare.Win32.SearchPage



Check a file
Checked file ntmp.exe
Filesize: 35447 Bytes
MD5-Hashvalue: 4cae180b3a7896d86b7c4b4273e71641
=======================================
F-Prot Antivirus: No virus found.
Clam AV: No virus found.
VirusBlokAda: No virus found.


Check a file
Checked file ntro32.dll
Filesize: 86900 Bytes
MD5-Hashvalue: 17aeeb9e6632400897e599f24001ff46
=======================================
F-Prot Antivirus: No virus found.
Clam AV: No virus found.
VirusBlokAda: No virus found.


Check a file
Checked file winya.exe
Filesize: 11895 Bytes
MD5-Hashvalue: 40ee4f5fc4911e996c4a7392cefd1ff3
=======================================
F-Prot Antivirus: No virus found.
Clam AV: No virus found.
VirusBlokAda: No virus found.


Check a file
Checked file WINYP32.EXE-36D20EDF.pf
Filesize: 60624 Bytes
MD5-Hashvalue: 4d2ac008be10a9bd969dd40e793885aa
=======================================
F-Prot Antivirus: No virus found.
Clam AV: No virus found.
VirusBlokAda: No virus found.





This is a report processed by VirusTotal on 12/08/2005 at 03:34:04 (CET) after scanning the file "appol.dll" file. 
Antivirus	Version	Update	Result
AntiVir	6.33.0.61	12.07.2005	TR/Dldr.WinSho.bg.8
Avast	4.6.695.0	12.07.2005	no virus found
AVG	718	12.05.2005	no virus found
Avira	6.33.0.61	12.07.2005	TR/Dldr.WinSho.bg.8
BitDefender	7.2	12.08.2005	no virus found
CAT-QuickHeal	8.00	12.07.2005	no virus found
ClamAV	devel-20051108	12.07.2005	no virus found
DrWeb	4.33	12.07.2005	Trojan.Feat.9
eTrust-Iris	7.1.194.0	12.07.2005	no virus found
eTrust-Vet	11.9.1.0	12.07.2005	no virus found
Fortinet	2.54.0.0	12.08.2005	W32/AdClicker.AJ!dldr
F-Prot	3.16c	12.07.2005	no virus found
Ikarus	0.2.59.0	12.08.2005	no virus found
Kaspersky	4.0.2.24	12.08.2005	Trojan-Downloader.Win32.WinShow.bg
McAfee	4645	12.07.2005	AdClicker-AJ.gen
NOD32v2	1.1315	12.07.2005	a variant of Win32/TrojanDownloader.Agent.BQ
Norman	5.70.10	12.07.2005	no virus found
Panda	8.02.00	12.07.2005	no virus found
Sophos	4.00.0	12.07.2005	no virus found
Symantec	8.0	12.07.2005	no virus found
TheHacker	5.9.1.051	12.07.2005	no virus found
VBA32	3.10.5	12.07.2005	Trojan-Downloader.Win32.WinShow.bg



This is a report processed by VirusTotal on 12/08/2005 at 03:37:52 (CET) after scanning the file "lynvu.dll" file. 
Antivirus	Version	Update	Result
AntiVir	6.33.0.61	12.07.2005	TR/StartPa.DU.DLL.1
Avast	4.6.695.0	12.07.2005	no virus found
AVG	718	12.05.2005	Startpage.19.AO
Avira	6.33.0.61	12.07.2005	TR/StartPa.DU.DLL.1
BitDefender	7.2	12.08.2005	Trojan.WinShow.JS.A
CAT-QuickHeal	8.00	12.07.2005	W32.Winshow.html
ClamAV	devel-20051108	12.07.2005	Trojan.Startpage-265
DrWeb	4.33	12.07.2005	Trojan.StartPage.563
eTrust-Iris	7.1.194.0	12.07.2005	Win32/Startpage.66048!DLL!Trojan
eTrust-Vet	11.9.1.0	12.07.2005	no virus found
Fortinet	2.54.0.0	12.08.2005	W32/StartPage.DU-dam
F-Prot	3.16c	12.07.2005	destructive program named W32/Startpage.ATC
Ikarus	0.2.59.0	12.08.2005	AdWare.SearchPage
Kaspersky	4.0.2.24	12.08.2005	not-a-virus:AdWare.Win32.SearchPage
McAfee	4645	12.07.2005	StartPage-DU.dll
NOD32v2	1.1315	12.07.2005	no virus found
Norman	5.70.10	12.07.2005	Startpage.ARD
Panda	8.02.00	12.07.2005	Adware/SearchAid
Sophos	4.00.0	12.07.2005	no virus found
Symantec	8.0	12.07.2005	no virus found
TheHacker	5.9.1.051	12.07.2005	Trojan/StartPage-DU.gen3
VBA32	3.10.5	12.07.2005	AdWare.Win32.SearchPage




This is a report processed by VirusTotal on 12/08/2005 at 03:40:12 (CET) after scanning the file "ntmp.exe" file. 
Antivirus	Version	Update	Result
AntiVir	6.33.0.61	12.07.2005	TR/Dldr.Agent.TD.42
Avast	4.6.695.0	12.07.2005	no virus found
AVG	718	12.05.2005	no virus found
Avira	6.33.0.61	12.07.2005	TR/Dldr.Agent.TD.42
BitDefender	7.2	12.08.2005	GenPack:Trojan.Downloader.Agent.TD
CAT-QuickHeal	8.00	12.07.2005	TrojanDownloader.Agent.td
ClamAV	devel-20051108	12.07.2005	no virus found
DrWeb	4.33	12.07.2005	Trojan.Feat.7
eTrust-Iris	7.1.194.0	12.07.2005	Win32/Winshow.HO!Trojan
eTrust-Vet	11.9.1.0	12.07.2005	Win32.Winshow.HO
Fortinet	2.54.0.0	12.08.2005	W32/SpyDldr.C!dldr
F-Prot	3.16c	12.07.2005	no virus found
Ikarus	0.2.59.0	12.08.2005	no virus found
Kaspersky	4.0.2.24	12.08.2005	Trojan-Downloader.Win32.Agent.td
McAfee	4645	12.07.2005	no virus found
NOD32v2	1.1315	12.07.2005	a variant of Win32/TrojanDownloader.Agent.BQ
Norman	5.70.10	12.07.2005	no virus found
Panda	8.02.00	12.07.2005	no virus found
Sophos	4.00.0	12.07.2005	Troj/SpyDldr-C
Symantec	8.0	12.07.2005	no virus found
TheHacker	5.9.1.051	12.07.2005	no virus found
VBA32	3.10.5	12.07.2005	Trojan-Downloader.Win32.Agent.td



This is a report processed by VirusTotal on 12/08/2005 at 03:41:40 (CET) after scanning the file "ntro32.dll" file. 
Antivirus	Version	Update	Result
AntiVir	6.33.0.61	12.07.2005	no virus found
Avast	4.6.695.0	12.07.2005	no virus found
AVG	718	12.05.2005	no virus found
Avira	6.33.0.61	12.07.2005	no virus found
BitDefender	7.2	12.08.2005	no virus found
CAT-QuickHeal	8.00	12.07.2005	no virus found
ClamAV	devel-20051108	12.07.2005	no virus found
DrWeb	4.33	12.07.2005	no virus found
eTrust-Iris	7.1.194.0	12.07.2005	no virus found
eTrust-Vet	11.9.1.0	12.07.2005	no virus found
Fortinet	2.54.0.0	12.08.2005	suspicious
F-Prot	3.16c	12.07.2005	no virus found
Ikarus	0.2.59.0	12.08.2005	no virus found
Kaspersky	4.0.2.24	12.08.2005	Trojan-Downloader.Win32.WinShow.bg
McAfee	4645	12.07.2005	AdClicker-AJ.gen
NOD32v2	1.1315	12.07.2005	a variant of Win32/TrojanDownloader.Agent.BQ
Norman	5.70.10	12.07.2005	no virus found
Panda	8.02.00	12.07.2005	no virus found
Sophos	4.00.0	12.07.2005	no virus found
Symantec	8.0	12.07.2005	no virus found
TheHacker	5.9.1.051	12.07.2005	no virus found
VBA32	3.10.5	12.07.2005	no virus found


This is a report processed by VirusTotal on 12/08/2005 at 03:40:58 (CET) after scanning the file "WINYP32.EXE-36D20EDF.pf" file. 
Antivirus	Version	Update	Result
AntiVir	6.33.0.61	12.07.2005	no virus found
Avast	4.6.695.0	12.07.2005	no virus found
AVG	718	12.05.2005	no virus found
Avira	6.33.0.61	12.07.2005	no virus found
BitDefender	7.2	12.08.2005	no virus found
CAT-QuickHeal	8.00	12.07.2005	no virus found
ClamAV	devel-20051108	12.07.2005	no virus found
DrWeb	4.33	12.07.2005	no virus found
eTrust-Iris	7.1.194.0	12.07.2005	no virus found
eTrust-Vet	11.9.1.0	12.07.2005	no virus found
Fortinet	2.54.0.0	12.08.2005	no virus found
F-Prot	3.16c	12.07.2005	no virus found
Ikarus	0.2.59.0	12.08.2005	no virus found
Kaspersky	4.0.2.24	12.08.2005	no virus found
McAfee	4645	12.07.2005	no virus found
NOD32v2	1.1315	12.07.2005	no virus found
Norman	5.70.10	12.07.2005	no virus found
Panda	8.02.00	12.07.2005	no virus found
Sophos	4.00.0	12.07.2005	no virus found
Symantec	8.0	12.07.2005	no virus found
TheHacker	5.9.1.051	12.07.2005	no virus found
VBA32	3.10.5	12.07.2005	no virus found

Der Upload zu beiden Adressen hat wunderbar funktioniert.
Danke im Übrigen für die schnelle Antwort, Ruby!

[Ruby]

Hallo Juvienne

danke fürs hochladen den Dateien

Lade Silent Runner runter.
Wende es, entsprechend der bebilderten Anleitung, an.
Erstelle damit ein Logfile und poste es.

[Juvienne]

Silentrunner hat folgendes ausgespuckt:

Code:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = ""c:\programme\valve\steam\steam.exe" -silent" ["Valve Corporation"]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Windows installer" = "C:\winstall.exe" [file not found]
"Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"BDNewsAgent" = "C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [null data]
"WorksFUD" = "C:\Programme\Microsoft Works\wkfud.exe" ["Microsoft® Corporation"]
"Microsoft Works Portfolio" = "C:\Programme\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"]
"Mirabilis ICQ" = "C:\PROGRA~1\ICQ\ICQNet.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"winyp32.exe" = "C:\WINDOWS\winyp32.exe" [file not found]
"BDMCon" = "C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe" ["SOFTWIN S.R.L."]
"d3xc32.exe" = "C:\WINDOWS\d3xc32.exe" [file not found]
"mstf32.exe" = "C:\WINDOWS\mstf32.exe" [file not found]
"winhc.exe" = "C:\WINDOWS\winhc.exe" [file not found]
"ntmp.exe" = "C:\WINDOWS\ntmp.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"winya.exe" = "C:\WINDOWS\winya.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0AA13D05-4B32-5457-1F77-A94E37FEE4D1}\(Default) = "Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\appol.dll" [null data]
{DF83D71D-7E3C-905C-49E6-8B0B8142868F}\(Default) = "Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\ntro32.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v7"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.3\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
BitDefender Antivirus v7\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
BitDefender Antivirus v7\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]


Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 
[enables Active Desktop and prevents disabling it]

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Startup items in "Mathias" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Erinnerungen in Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Photo Loader resident" -> shortcut to: "C:\Programme\CASIO\Photo Loader\Plauto.exe" ["CASIO COMPUTER CO.,LTD."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.



----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 39 seconds, including 18 seconds for message boxes)

[Ruby]

Hallo Juvienne

lade bitte das SmitfraudFix von S!Ri, moe31 und balltrap34 runter: SmitfraudFix

entpacke es (SIMPLYZIP) auf deinen Desktop,

Wechsle in den abgesicherten Modus
Lass das SmitfraudFix laufen und wähle die Option 1
Speichere das Logfile

Lass es nochmal laufen, wähle die Option 2
wenn du gefragt wirst: o/n -> sag bitte "o" ("oui"=JA)
Speichere das Logfile
Starte dein System neu auf in den normalen Modus

Poste beide SmitfraudFix-Logfiles.
Erstelle und poste ein neues HJT-Log... danke

__________________

Bitte helft uns diesen kostenlosen Service aufrecht zu erhalten

PayPal-DE - Konto DE - PayPal-US - Konto EN

you are welcome
Ruby

[Juvienne]

Ich habe die Dateien auf den Desktop gepackt, kann sie aber im abgesicherten Modus nicht finden, daher auch nicht starten. Was mache ich jetzt?

[Ruby]

entpacke sie in einen Ordner deiner Wahl, damit du sie auch im abgesicherten Modus finden kannst.


__________________

Bitte helft uns diesen kostenlosen Service aufrecht zu erhalten

PayPal-DE - Konto DE - PayPal-US - Konto EN

you are welcome
Ruby

[Juvienne]

Ok, das scheint ja gut geklappt zu haben! Jedenfalls ist mein Desktop-Hintergrund schonmal nicht mehr diese blöde Spyware-Warnung.

Zu den Logs:

Code:

SmitFraudFix v2.06

Rapport fait à 12:01:00,50 le 08.12.2005
Executé à partir de C:\Dokumente und Einstellungen\Mathias\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\desktop.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport





SmitFraudFix v2.06

Rapport fait à 12:03:00,43 le 08.12.2005
Executé à partir de C:\Dokumente und Einstellungen\Mathias\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\desktop.html supprimé

 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Und hier das HJT-Log:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:12:33, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\winya.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\ntmp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mathias\Eigene Dateien\wurm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lynvu.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {0AA13D05-4B32-5457-1F77-A94E37FEE4D1} - C:\WINDOWS\system32\appol.dll
O2 - BHO: Class - {DF83D71D-7E3C-905C-49E6-8B0B8142868F} - C:\WINDOWS\ntro32.dll
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winyp32.exe] C:\WINDOWS\winyp32.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [d3xc32.exe] C:\WINDOWS\d3xc32.exe
O4 - HKLM\..\Run: [mstf32.exe] C:\WINDOWS\mstf32.exe
O4 - HKLM\..\Run: [winhc.exe] C:\WINDOWS\winhc.exe
O4 - HKLM\..\Run: [ntmp.exe] C:\WINDOWS\ntmp.exe
O4 - HKLM\..\RunOnce: [winya.exe] C:\WINDOWS\winya.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {2A781DED-C22D-4153-9812-CEA98A32981C} (GameDesire Makao) - http://67.15.101.3/g_bin/eng/cardsmakao_2_0_0_18.cab
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/eng/boards_2_0_0_21.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/eng/navy_2_0_0_17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103045251375
O16 - DPF: {881290B9-F53C-4676-8DAF-3DBEFC297308} (GameDesire Makao) - http://67.15.101.3/g_bin/eng/makao_2_0_0_15.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85FD7131-00AB-432F-9DE9-23CE6A4AE50E}: NameServer = 212.18.3.5 212.18.0.5
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\winaq32.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Ruby]

Lade SpSeHjfix, den Cleaner für Windows 2000/XP runter und wende ihn laut Anweisung auf deinem System an.
Erstelle ein SpSeHjfix.logfile.

Wenn das Programm den Rechner nicht selbsständig bootet, erzwinge bitte einen Neustart.

Lass HijackThis laufen
Speichere das Logfile.

-> Poste das SpSeHjfix Logfile.
-> Poste das HJT Logfile.


__________________

Bitte helft uns diesen kostenlosen Service aufrecht zu erhalten

PayPal-DE - Konto DE - PayPal-US - Konto EN

you are welcome
Ruby