Ist noch ein Virus da

[Blackhead77]

Hallo,

Ich hatte einen Virus "Goldnun den hat mein Viruscanner gelöscht.

Sind noch Viren auf den Computer?

Code:

Logfile of HijackThis v1.99.1
Scan saved at 15:16:33, on 29.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Adobe\GoLive CS_DEU\GoLive.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\Dokumente und Einstellungen\Ingo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D93F579F-D3DA-4956-A04E-3761DAE1833A}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: sysldr - {4F5E304B-D96A-477C-96C7-349591CFA0AB} - sysldr.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Speedy]

hi
hört sich nicht so gut an

O21 - SSODL: sysldr - {4F5E304B-D96A-477C-96C7-349591CFA0AB} - sysldr.dll (file missing)

downlaod den ccleaner, installieren, starten -> unter options settings -> german einstellen, nun bereinige damit dein system (windows, applications, registry) (quick-tour und screenshots), die temp. ordner überprüfen, notfalls im abgesicherten modus leeren, mistküble leeren
downlaod von datfindbat, führe es nach anleitung aus und poste den inhalt der erstellten logfiles (das werden 4 stück)

b

[Blackhead77]

1.

Code:

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 28DA-7F68

 Verzeichnis von C:\WINDOWS\system32

29.01.2006  15:37            35.873 vsconfig.xml
29.01.2006  15:36            21.961 nvapps.xml
29.01.2006  15:35           110.992 FNTCACHE.DAT
27.01.2006  18:33             2.422 wpa.dbl
05.01.2006  04:41         2.836.320 MRT.exe
29.12.2005  03:54           280.064 gdi32.dll
01.12.2005  04:31         1.492.480 shdocvw.dll
24.11.2005  00:58         3.013.632 mshtml.dll
24.11.2005  00:58         1.022.464 browseui.dll
15.11.2005  00:51            71.440 zlcommdb.dll
15.11.2005  00:51            79.624 zlcomm.dll
15.11.2005  00:51           100.104 vsxml.dll
15.11.2005  00:51           382.728 vsutil.dll
15.11.2005  00:51            71.440 vsregexp.dll
15.11.2005  00:50           227.088 vspubapi.dll
15.11.2005  00:50           104.208 vsmonapi.dll
15.11.2005  00:50           141.064 vsinit.dll
15.11.2005  00:50           372.816 vsdatant.sys
15.11.2005  00:50            83.720 vsdata.dll
09.11.2005  19:29            98.304 CmdLineExt.dll
05.11.2005  04:16           606.208 urlmon.dll
05.11.2005  04:16         1.056.256 danim.dll
04.11.2005  22:30            16.832 amcompat.tlb
04.11.2005  22:30            23.392 nscompat.tlb
30.10.2005  13:46           311.740 perfh009.dat
30.10.2005  13:46            48.354 perfc007.dat
30.10.2005  13:46           316.924 perfh007.dat
30.10.2005  13:46            40.128 perfc009.dat
30.10.2005  13:46           723.744 PerfStringBackup.INI
21.10.2005  04:40           664.064 wininet.dll
21.10.2005  04:40           474.112 shlwapi.dll
21.10.2005  04:40           530.944 mstime.dll
21.10.2005  04:40           146.432 msrating.dll
21.10.2005  04:40           448.512 mshtmled.dll
21.10.2005  04:40            39.424 pngfilt.dll

2.

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 28DA-7F68

 Verzeichnis von C:\DOKUME~1\Ingo\LOKALE~1\Temp

29.01.2006  15:57            16.384 Perflib_Perfdata_1c4.dat
29.01.2006  11:56           293.918 Office 2000 Premium Setup(0004)_MsiExec.txt
29.01.2006  11:50             1.738 Office 2000 Premium Setup(0004).txt
29.01.2006  11:49            29.936 offcln9.log
29.01.2006  11:49           125.900 Office 2000 Premium Setup(0002)_MsiExec.txt
29.01.2006  11:47             1.738 Office 2000 Premium Setup(0002).txt
27.01.2006  19:03             3.348 Acr42.tmp
27.01.2006  19:03               446 Acr43.tmp
26.01.2006  18:51             3.348 Acr20D.tmp
26.01.2006  18:51               446 Acr20E.tmp
26.01.2006  12:50            16.384 ~DFC2F.tmp
25.01.2006  20:22             5.310 plf4.tmp
24.01.2006  22:24            16.384 ~DF48A4.tmp
21.01.2006  12:49            46.080 ~e5d141.tmp
              14 Datei(en)        561.360 Bytes
               0 Verzeichnis(se), 118.638.981.120 Bytes frei

3.

Code:

olume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 28DA-7F68

 Verzeichnis von C:\WINDOWS

29.01.2006  15:57             6.976 ModemLog_NetoDragon 56K Voice Modem.txt
29.01.2006  15:57               894 win.ini
29.01.2006  15:38         1.562.840 WindowsUpdate.log
29.01.2006  15:36               159 wiadebug.log
29.01.2006  15:36                50 wiaservc.log
29.01.2006  15:35             2.048 bootstat.dat
29.01.2006  15:34            32.638 SchedLgU.Txt
29.01.2006  11:55               403 ODBC.INI
29.01.2006  10:26            54.156 QTFont.qfn
26.01.2006  12:48           253.952 Setup1.exe
26.01.2006  12:48            74.752 ST6UNST.EXE
18.01.2006  11:59             2.632 photoimpression.ini
14.01.2006  21:14             4.222 mozver.dat
12.01.2006  21:34               188 DINFO.INI
30.12.2005  17:05                29 DEBUGSM.INI
25.12.2005  14:51               772 hpinfo.lnk
17.12.2005  02:09            99.970 UninstallFirefox.exe
07.12.2005  12:53             1.409 QTFont.for
25.11.2005  10:17               211 uno.ini
04.11.2005  21:43           316.640 WMSysPr9.prx
22.09.2005  19:18               227 system.ini
21.09.2005  11:42                50 WININIT.INI
19.09.2005  20:46                 4 msoffice.ini
19.09.2005  16:09               335 nsreg.dat
24.08.2005  08:47                40 RUNAWAY.INI
23.08.2005  09:53                61 cnerolf.dat
23.08.2005  09:39           286.720 iun506.exe
05.08.2005  09:20           299.552 WMSysPrx.prx
03.08.2005  22:52                 0 Sti_Trace.log
03.08.2005  22:18             8.192 REGLOCS.OLD
03.08.2005  22:14                 0 control.ini
03.08.2005  22:14             4.161 ODBCINST.INI
03.08.2005  22:13               749 WindowsShell.Manifest
03.08.2005  22:11                36 vb.ini
03.08.2005  22:11                37 vbaddin.ini
27.05.2005  00:22            10.752 hh.exe
03.08.2004  23:58           288.768 winhlp32.exe
03.08.2004  23:58            32.866 slrundll.exe
03.08.2004  23:58           153.600 regedit.exe

4.

Code:

Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 28DA-7F68

 Verzeichnis von C:\

29.01.2006  16:00                 0 sys.txt
29.01.2006  16:00             4.702 system.txt
29.01.2006  16:00             1.044 systemtemp.txt
29.01.2006  15:56            97.676 system32.txt
29.01.2006  15:35     1.207.959.552 pagefile.sys
29.01.2006  12:41            18.752 hpfr3320.log
24.01.2006  22:31             4.567 hijackthis.log
18.01.2006  11:55             1.872 twacker.log
25.12.2005  12:18            10.064 Hermes Paketschein und Quittung.htm
20.12.2005  17:25         8.917.000 Gothic-Patch1.08h.exe
13.11.2005  16:20         1.497.705 Mercedes_Benz_E500sa.zip
03.11.2005  21:38             1.603 Text AD.rtf
27.09.2005  16:45               429 TO_InstallLog.txt
22.09.2005  19:18               211 boot.ini
19.09.2005  17:04             1.678 IPH.PH
14.08.2005  16:41             3.192 ATP2002_SETUP.LOG
14.08.2005  16:41             1.197 AT2002_REMOVE.BAT
08.08.2005  12:45               769 Linux Modem.rtf
07.08.2005  18:32               652 Dokument.rtf
05.08.2005  10:14           804.426 slmodem-2.9.10_netodragon.tar.gz
05.08.2005  09:12            47.564 NTDETECT.COM
05.08.2005  09:12           251.184 ntldr
03.08.2005  22:14                 0 MSDOS.SYS
03.08.2005  22:14                 0 CONFIG.SYS
03.08.2005  22:14                 0 AUTOEXEC.BAT
03.08.2005  22:14                 0 IO.SYS
25.12.2004  21:52               185 unstopcp.log
25.12.2004  20:01            55.674 unstopcp2.zip
29.08.2002  13:00             4.952 bootfont.bin
              29 Datei(en)  1.219.686.650 Bytes
               0 Verzeichnis(se), 118.638.911.488 Bytes frei

hijackthislogfile

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:05:59, on 29.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
C:\Dokumente und Einstellungen\Ingo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D93F579F-D3DA-4956-A04E-3761DAE1833A}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: sysldr - {4F5E304B-D96A-477C-96C7-349591CFA0AB} - sysldr.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Ruby]

Hallo Blackhead77

scanne >>diese<< Dateien bitte mit HJT sowie mit Virustotal und/oder Jotti

C:\unstopcp2.zip
C:\Programme\D\D-Info Sommer 2004\distart.exe

Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit (Beispiel).

[Blackhead77]

ergebnisse:

Code:

Datei:  unstopcp2.zip  
Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)  
Entdeckte Packprogramme:  UPX 
   
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
UNA  Keine Viren gefunden 
VBA32  Keine Viren gefunden

UND

Code:

Auslastung:  0%        100%  
 
Datei:  distart.exe  
Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)  
Entdeckte Packprogramme:  - 
   
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
UNA  Keine Viren gefunden 
VBA32  Keine Viren gefunden

Ich wei&#223; dass diese beiden Dateien Keine Viren sind die eine Datei geh&#246;rt zu einem Telefonbuch die andere ist ein kleines CD Reperaturprogramm

[Ruby]

@ Blackhead77

unkonzentriertes Lesen und nicht befolgen der Anleitung kann dich dein System kosten

1
Lies bitte zuallererst und ganz genau diese Beschreibung und den Hinweis im Link durch,
bevor du den Generic Smithfraud remover anwendest.

2
Wichtig: herunterladen des Patches für die Datei "wininet.dll":

Falls die Datei wininet.dll nicht beigefügt sein sollte, hier ein Ausweg : lade das Patch für die Datei "wininet.dll" (für Win9x-XP) herunter und installiere es im Ordner C:\Windows\System32

Mach das bitte BEVOR du den Remover anwendest!

3
Starte den Generic Smithfraud Remover,
drücke nach Beendigung des Installationsvorganges auf Finished.

4
Warte bis die Installation beendet ist und
starte den Rechner dann sofort neu auf.

5
Starte HijackThis erneut,
drücke Scan,
speichere das Logfile
und poste es !

[Blackhead77]

Kannst du mir schrittt zwei genauer erklären?

Denn in dem Ordner System32 befindet sich bereits eine datei mit dem Namen
wininet.dll und diese lässt sich nicht ersetzen

[Ruby]

@ Blackhead77

lade das Patch vorsichtshalber runter, speichere es auf deinem Desktop.
F&#252;hre den Remover aus und melde dich mit einem neuen Datfindbat-logfile bei uns.

[Blackhead77]

Der neue Logfile hat sich aber glaube ich nichts verändert :

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:58:34, on 30.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D\D-Info Sommer 2004\distart.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Ingo\Desktop\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = C:\Programme\D\D-Info Sommer 2004\distart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: sysldr - {4F5E304B-D96A-477C-96C7-349591CFA0AB} - sysldr.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Code:

O21 - SSODL: sysldr - {4F5E304B-D96A-477C-96C7-349591CFA0AB} - sysldr.dll (file missing)

Ist immer noch vorhanden

[Ruby]

Hallo Blackhead77

wir haben dein HJT-Logfile noch nicht gefixt. Folglich ist der Eintrag noch vorhanden.

Download eine Trial Version von Ewido (falls noch nicht geschehen).
Klicke auf den Update Button und starte den Update.
enn der Update beendet ist, klicke auf den Scanner Button.
Schliesse Ewido.

Drucke die folgenden Anweisungen aus,
da du keinen Browser offen haben darfst
und den Rechner vom Netz trennen musst!

Die Internet Verbindung muss aufgehoben sein. Kein Kontakt zum Netz!

1
Fahre nun den Rechner runter, mach ihn aus,
nimm das Kabel aus der Maschine, beende den Kontakt zum Internet!

2
Du musst nun im abgesicherten Modus (Anleitung) arbeiten.
Der Kontakt zum Netz muss unterbrochen SEIN!!!

3
Scanne dein gesamtes System mit Ewido.
Speichere das Logfile.

4
Öffne den Ewido Ordner.
Leere den Inhalt des Quarantäne-Ordner von Ewido.

5
Öffne Ewido und mache Folgendes:
Klicke auf Scanner
Klicke dann auf Einstellungen:
Wähle Scanne jede Datei
Klicke OK
Klick auf Complete System Scan (Full System Scan/vollständigen Systemscan) und damit wird der Scan beginnen.
Lass Ewido deinen Rechner scannen.
Während der Scan läuft, wirst du immer mal wieder gefragt, ob du erlaubst, dass Dateien gelöscht werden, die infiziert sind. Bestätige das Löschen.
Lass aber die herkömmlichen Einstellungen so wie sie sind (entfernen und Backup) und klicke auf ok.
Um Zeit zu sparen, kannst du auswählen "Perform action with all infections" (Scanne den Rechner zu allen Infektionen... oder sowas steht da) > Klicke auf ok.
Mit der Einstellung "Scanne jede Datei" (scan every file), werden eine Menge Cookies entfernt.

6
Boote in den normalen Modus.

7
Schliesse das Kabel wieder an.

8
Speichere das Ewido Logfile
-> und poste es.
-> Poste auch das Logfile vom normalen Ewido Scan.