Hallo,
ich habe mir diesen Dialer eingefangen. Von Spybot wird er leider nicht erkannt.
Er ist nur lästig, es passiert nichts, da ich DSL habe.
Hier ist er genauer beschrieben:
http://www.trojaner-board.de/showthread.php?t=27094

Wird es dafür eine Behebung in Spybot geben?

Danke für die Antworten

Wilhelm

Hallo,

Wir brauchen Ihren *vollstaendigen* Spybot-S&D-Systembericht, um das Problem aufzuspueren.
Bitte starten Sie Spybot-S&D und fuehren Sie eine Suche durch. Klicken Sie dann mit der rechten Maustaste in das Ergebnisfeld und waehlen Sie entweder "Kompletten Bericht in Datei speichern..." oder "Kompletten Bericht in die Zwischenablage kopieren", und fuegen Sie die Datei bzw. den Inhalt der Zwischenablage einer Mail an detections@spybot.info hinzu.
Wir werden versuchen, Ihr Problem zu lokalisieren und entdeckte Bedrohungen in das naechste Update mit aufzunehmen.

Mit freundlichen Grüssen
Sandra
Team Spybot

Hallo,

gibt es schon eine Loesung? Laut WEB.de ist es der Trojan.Win32.Dialer.oy.

Gruß
Wilhelm

Hm, das bedeutet, dein Rechner ist bereits seit fast 2 Monaten infiziert und du hast es noch nicht behoben, bzw beheben koennen?

Ist richtig. Ich habe Sygate laufen, der verhindert das Aussenden der Nachricht. Ist halt lässtig es immer die Abfrage von Sygate abzubrechen.

Gruß
Wilhelm

Das ist nicht gut! Eigentlich sollte jedes aktuelle AV Programm jetzt in der Lage sein, diese Datei und die restlichen im abgesicherten Modus zu loeschen.

Es waere nett, wenn du ein Hijackthis log posten koenntest, damit wir uns ein Bild von deiner Situation machen koennen:
http://www.cidres-security.de/hijackthis.html

Hallo,

hier ist der Log. Trotz neuestem Check ist das Problem noch da.

Logfile of HijackThis v1.99.1
Scan saved at 13:47:27, on 28.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
D:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
d:\programme\etex ag\speak&win\bin\ETTSengine.exe
D:\Programme\Sygate\SPF\smc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Global Startup: ETeX Secure Client.lnk = D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: Scanner Finder.lnk = D:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Sygate Personal Firewall (2).lnk = D:\Programme\Sygate\SPF\Smc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141037022068
O20 - Winlogon Notify: winrso32 - C:\WINDOWS\SYSTEM32\winrso32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Gruß
Wilhelm

Wir koennen uns da mal ranarbeiten, aber eine schnellere reaktion von dir waere dabei sinnvoll!:)

Lade Blacklight und kopiere es in einen Extra Ordner http://www.f-secure.com/exclude/blacklight/index.shtml

starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mitr dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT datei. Den inhalt der Dateio bitte hier posten.

Hallo,

das Ergebnis war aber sehr mager.

06/02/06 17:52:19 [Info]: BlackLight Engine 1.0.37 initialized
06/02/06 17:52:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/02/06 17:52:19 [Note]: 7019 4
06/02/06 17:52:19 [Note]: 7005 0
06/02/06 17:52:25 [Note]: 7006 0
06/02/06 17:52:25 [Note]: 7011 1580
06/02/06 17:52:25 [Note]: 7026 0
06/02/06 17:52:26 [Note]: 7026 0
06/02/06 17:52:34 [Note]: FSRAW library version 1.7.1015
06/02/06 17:55:55 [Note]: 2000 1006
06/02/06 17:58:17 [Note]: 7007 0


Gruß

Wilhelm

Mager ist besser, als viel zu finden! :)

Gehen wir die Sache mal anders an. Lade dir Drweb Cureit und starte es im abgesicherten Modus:
http://virus-protect.org/cureit.html
Sofern es etweas findet, poiste den Inhalt des Reports.

Fixe zusaetzlich noch diesen Eintrag, wenn du im abgesicherten Modus bist:

O20 - Winlogon Notify: winrso32 - C:\WINDOWS\SYSTEM32\winrso32.dll

Hallo,

das Programm lässt sich nicht laden.
Bei der Überprüfung mit Spy-Bot bekomme ich immer wieder den
Zlob.Downloader
angezeigt, obwohl ich diesen immer wieder entfernen lasse.
Ich werde weiter versuchen das Programm runterzuladen und es dann ausführen.

Gruß
Wilhelm

Hm, Zlob? Poste eionmal das hijackthis Ergebnis( Nach dem Scan ins weisse Ergebnissfenster mit der Rechten Maustaste klicken, "Ergebnisse in die Zwischenablage Kopieren" waehlen und hier einfuegen).

Auch diese beide Downloadlings zu cureit funktionieren nicht?

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

An drweb komme ich nicht ran, weder mit IE noch mit Mozilla.

Hier der aktuelle log von Hijackthis. Spybot sagt ich hätte wieder den Zlob.

Logfile of HijackThis v1.99.1
Scan saved at 23:12:54, on 03.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
D:\Programme\ScanWizard 5\ScannerFinder.exe
d:\programme\etex ag\speak&win\bin\ETTSengine.exe
D:\Programme\Sygate\SPF\smc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Global Startup: ETeX Secure Client.lnk = D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: Scanner Finder.lnk = D:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Sygate Personal Firewall (2).lnk = D:\Programme\Sygate\SPF\Smc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141037022068
O20 - Winlogon Notify: winrso32 - C:\WINDOWS\SYSTEM32\winrso32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Gruß
Wilhelm

Hm, die Malware Blogt das. Schau, ob du diese DAtei im abgesicherten Modus umbenennen kannst: C:\WINDOWS\SYSTEM32\winrso32.dll Sonst nutzen wir Avenger/Killbox dazu.


BTW: Ich habe mich unten verschrieben. Es muss Spybot heissen nicht Hijackthis! :( ;)
Also:
Poste eionmal das Spybot Ergebnis( Nach dem Scan ins weisse Ergebnissfenster mit der Rechten Maustaste klicken, "Ergebnisse in die Zwischenablage Kopieren" waehlen und hier einfuegen).

Hallo,

hier das Ergenis von Spybot:

Zlob.Downloader: Daten (Datei, nothing done)
C:\WINDOWS\system32\stdole3.tlb


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-02-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-05-26 Includes\Cookies.sbi (*)
2006-05-26 Includes\Dialer.sbi (*)
2006-05-26 Includes\Hijackers.sbi (*)
2006-05-26 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-05-26 Includes\Malware.sbi (*)
2006-05-26 Includes\PUPS.sbi (*)
2006-05-26 Includes\Revision.sbi (*)
2006-05-26 Includes\Security.sbi (*)
2006-05-26 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-05-26 Includes\Trojans.sbi (*)


Gruß
Wilhelm

Hat das mit dem Umbenennen funktioniert?

Das Umbennen hat funktioniert. Aber es hat sich nichts geändert. Der Zlob ist noch da und der winc2 will auch noch immer ins Netz.

Gruß
Wilhelm

Noch ein Nachtrag.
Das winc2 scheint weg zu sein, ist jedenfalls nach dem letzten Start nicht mehr aufgetreten.
Aber der Zlob ist nicht wegzukriegen, auch das Löschen der bei Spybot angegebenen Datei bringt nichts. Sie taucht immer wieder auf.
Hier noch mal das Ergebnis:
Zlob.Downloader: Daten (Datei, nothing done)
C:\WINDOWS\system32\stdole3.tlb


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-02-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-05-26 Includes\Cookies.sbi (*)
2006-05-26 Includes\Dialer.sbi (*)
2006-05-26 Includes\Hijackers.sbi (*)
2006-05-26 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-05-26 Includes\Malware.sbi (*)
2006-05-26 Includes\PUPS.sbi (*)
2006-05-26 Includes\Revision.sbi (*)
2006-05-26 Includes\Security.sbi (*)
2006-05-26 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-05-26 Includes\Trojans.sbi (*)


Gruß
Wilhelm

Um den Zlob mache ich mir derzeit weniger Sorgen. Du kannst die Datei einfach umbenennen: C:\WINDOWS\system32\stdole3.tlb Es ist kein aktiver Teil der Malware.

Mache bitte noch folgendes( Drweb Download funktioniert noch immer nicht?). Erstelle ein Datfind report der letzten 4 Monate:
http://virus-protect.org/datfindbat.html

Nutze zuvor bitte CCleaner http://www.ccleaner.de . Bei der Installation bitte beachten, das man die Yahoo Toolbar nicht mit installiert.

gmt: 03:44
Hallo Erst mal
Also das zlob problem hatte ich auch bis vor ein paar stunden
diese stdole3.tlb und 2 registry einträge konnten von meine geupdateten 1.3 spybot erst beim automatischen Scann nach einem neustart gelöscht werden.
habe danach noch eine antiviren software installiert [ Avast v4.7 home edition mit einem 60 tage free lizenz (gratis download).] der hat noch eine andere datei gefunden mit dem zlob die nennt sich "c:\windows\system32\ld100.tmp"
kasperskys online fileanalyse hat das zwar auch erkannt aber wie mans behebt oder was des ding tut da schweigen sie sich aus Is wohl n neuer mutant von dem win32:zlob-cw trojaner und anscheinend (noch) nich reparierbar

naja habs noch Im kontainer aber seit dem is Ruhe.

Lg Monamia

Hallo,

nachdem ich das DRWEB runterladen konnte habe ich es laufen lassen. Dann habe ich alles bereinigen lassen, jetzt scheint mein System sauber zus sein.


Danke für die Hilfe.

Wilhelm

Poste bitte was Drweb alles gefunden hat. Den Report rufst du auf, indem du
"%userprofile%\doctorweb\cureit.log"
ohne die " bei Start/Ausfuehren ein und druecke Enter

Du solltest noch die Datentraegerbereinigung nutzen: http://support.microsoft.com/default.aspx?scid=kb;de;315246

Werde ich heute Abend machen.

Wilhelm

Hier der Log:

Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.03283)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-06-05, 19:43:39 [SCHLEPPY][Wir]
Befehlszeilen-Schalter: "C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini

Suchmodul Version: 4.33 (4.33.3.06020)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 291 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 52 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 773 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 124586
Lizenzschlüssel: C:\DOKUME~1\Wir\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05


Prüfstatistiken

Gruß

Wilhelm

Hm, es fehlt das entscheidene, welche Malware es gefunden hat!:)

Wie finde ich diese?

Wilhelm

Schau in den cureit report. Es muesste irgendwo unter infected stehen, wenn ich es recht in Erinnerung habe. Sofern denn etwas gefunden wurde. Hat es beim Scan denn etwas gemeldet?

Ich habe DrWeb nochmal im abgesicherten Modus laufenlassen.
Das Ergebnis ist zu lang um alles hier reinzustellen, ich stelle erst mal die Zusammenfassung rein. Sag mir was Du noch brauchst.

Gesamte Sitzungsstatistik

Geprüfte Objekte: 140791
Infizierte Objekte gefunden: 48
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 48
Ignorierte Objekte: 0
Leistung:: 728 Kb/s
Dauer:: 01:10:23

Gruß
Wilhelm

Suche in dem Report nach "infiziert mit"(ohne ").Das sollte alle eintraege zeigen.

Hallo,

hier erst mal ein Teil der Infizierten.

C:\WINDOWS\system32\regperf.exe infiziert mit Trojan.Popuper - wird nach dem Neustart desinfiziert
C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temp\iinstall.exe infiziert mit Trojan.Isbar.437 - gelöscht
C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\9LTDSKLU\wdinit64[1].exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3ZB71MWG\l11[1].exe infiziert mit Trojan.Popuper - gelöscht
C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3ZB71MWG\winz32[1].exe infiziert mit Trojan.MulDrop.3181 - nicht desinfizierbar - verschoben
>C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHH940OL\wizp32[1].exe infiziert mit Trojan.Isbar - gelöscht
>C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP8RSBCV\pop[1].exe infiziert mit Trojan.Isbar - gelöscht
>C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA4EKDJP\mulbin1[1].exe infiziert mit Trojan.Seeker.181 - gelöscht

>C:\Dokumente und Einstellungen\Wir\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WA4EKDJP\wizp32[1].exe infiziert mit Trojan.Isbar - gelöscht
C:\RECYCLER\S-1-5-21-327096534-158468782-1573071154-1005\Dc2.alt infiziert mit Trojan.DownLoader.7305 - gelöscht
C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030086.exe infiziert mit Trojan.Popuper - gelöscht
C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030095.alt infiziert mit Trojan.DownLoader.7305 - gelöscht
>C:\WINDOWS\winres.dll infiziert mit Trojan.StartPage.1298 - gelöscht
C:\WINDOWS\SoftwareDistribution\EventCache\{44C1F~1.BIN - Lesefehler
C:\WINDOWS\system32\AdService.dll infiziert mit BackDoor.Madtro - gelöscht
C:\WINDOWS\system32\ld77DC.tmp infiziert mit Trojan.Popuper - gelöscht
>>>C:\WINDOWS\system32\1024\ld3672.tmp infiziert mit Trojan.Popuper - gelöscht
>>>C:\WINDOWS\system32\1024\ld47C7.tmp infiziert mit Trojan.Popuper - gelöscht
>>>C:\WINDOWS\system32\1024\ld593A.tmp infiziert mit Trojan.Popuper - gelöscht
>>C:\WINDOWS\system32\1024\ld5B39.tmp infiziert mit Trojan.Fakealert - gelöscht
>>>C:\WINDOWS\system32\1024\ld6A53.tmp infiziert mit Trojan.Popuper - gelöscht
>>C:\WINDOWS\system32\1024\ld6B07.tmp infiziert mit Trojan.Fakealert - gelöscht
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
>C:\WINDOWS\Temp\win11B4.tmp.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
>C:\WINDOWS\Temp\win11BE.tmp.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
>C:\WINDOWS\Temp\win1205.tmp.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
>C:\WINDOWS\Temp\win18A1.tmp.exe infiziert mit Trojan.Isbar - gelöscht
>C:\WINDOWS\Temp\win19CB.tmp.exe infiziert mit Trojan.Seeker.181 - gelöscht
>C:\WINDOWS\Temp\win24D6.tmp.exe infiziert mit Trojan.Isbar - gelöscht
>C:\WINDOWS\Temp\win3C2D.tmp.exe infiziert mit Trojan.Isbar - gelöscht
>C:\WINDOWS\Temp\win3D5D.tmp.exe infiziert mit Trojan.Isbar - gelöscht
C:\WINDOWS\Temp\win435D.tmp.exe infiziert mit Trojan.MulDrop.3181 - nicht desinfizierbar - verschoben
>C:\WINDOWS\Temp\winCAA.tmp.exe infiziert mit Trojan.Seeker.181 - gelöscht
C:\WINDOWS\Temp\winCB1.tmp.exe infiziert mit Trojan.Popuper - gelöscht

>C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030096.dll infiziert mit Trojan.StartPage.1298 - gelöscht
C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030097.dll infiziert mit BackDoor.Madtro - gelöscht
>C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030101.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030102.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030103.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
>C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030104.exe infiziert mit Dialer.Riprova - nicht desinfizierbar - verschoben
C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030105.exe infiziert mit Trojan.MulDrop.3181 - nicht desinfizierbar - verschoben
C:\System Volume Information\_restore{FD1B92A4-91A4-4A73-9F1F-C9CBB111C6BA}\RP176\A0030106.exe infiziert mit Trojan.MulDrop.3181 - nicht desinfizierbar - verschoben

Gruß
Wilhelm

C:\WINDOWS\system32\regperf.exe infiziert mit Trojan.Popuper - wird nach dem Neustart desinfiziert
C:\WINDOWS\system32\ld77DC.tmp infiziert mit Trojan.Popuper - gelöscht
>>>C:\WINDOWS\system32\1024\ld3672.tmp infiziert mit Trojan.Popuper - gelöscht


Der Zlob/Popuper/Smitfraud ist aber neu, den hast du noch nicht so lange!?

Gut dann etwas ausholen. Wie sieht es mit deinem Bildhintergrund aus? Ist der noch "orginal" oder wurde der schon veraendert?

Ich muss dich bitten, ein neues Hijackthis log, ein Datfindbat log erstellen und cleaneup zu nutzen. Anleitungen dazu gibt es hier:
http://board.protecus.de/t23188.htm

Bitte mit cleaneup anfangen.

Also der Bildschirmhintergrund sieht aus wie immer.
Wo finde ich cleaneup?

Gruß

Wilhelm

Den Link zu Cleanup findest du im Link in mewinem obigen Posting.

Hallo,

hier die Logs nachdem ich cleanup genutzt habe und nun 1,6GB mehr auf der Platte:


Logfile of HijackThis v1.99.1
Scan saved at 16:33:49, on 17.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
D:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
d:\programme\etex ag\speak&win\bin\ETTSengine.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Wir\LOKALE~1\Temp\Rar$EX00.869\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - Global Startup: ETeX Secure Client.lnk = D:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RtlWake.lnk = ?
O4 - Global Startup: Scanner Finder.lnk = D:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Sygate Personal Firewall (2).lnk = D:\Programme\Sygate\SPF\Smc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141037022068
O20 - Winlogon Notify: winrso32 - winrso32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Rest folgt

Wilhelm

Das sieht nun schon besser aus. Denke bitte an den datfind Report http://virus-protect.org/datfindbat.html

und du musst noch diesen Eintrag mit hilfe von Hijackthis loeschen(fixen):

O20 - Winlogon Notify: winrso32 - winrso32.dll (file missing)

Du solltest dich auch fuer ein AV-Programm entscheiden. Ich sehe bei dir keines.

Nun der erste Log, von 2006:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C1C-9E9A

Verzeichnis von C:\WINDOWS\system32

14.06.2006 21:14 40 mscandc.ini
07.06.2006 07:09 1.158 wpa.dbl
24.05.2006 14:44 16.832 amcompat.tlb
24.05.2006 14:44 23.392 nscompat.tlb
23.05.2006 19:27 311.938 perfh009.dat
23.05.2006 19:27 40.326 perfc009.dat
23.05.2006 19:27 317.168 perfh007.dat
23.05.2006 19:27 48.552 perfc007.dat
23.05.2006 19:27 723.568 PerfStringBackup.INI
10.05.2006 02:49 269.824 Audiodev.dll
10.05.2006 02:49 7.757.312 wmploc.dll
10.05.2006 02:14 3.749.888 WpdShext.dll
10.05.2006 02:14 97.792 wmpshell.dll
10.05.2006 02:14 97.792 SET4767.tmp
10.05.2006 02:13 262.656 wmerror.dll
10.05.2006 02:12 8.192 asferror.dll
09.05.2006 22:36 6.656 uWDF.exe
09.05.2006 22:36 6.656 WdfMgr.exe
09.05.2006 22:26 337.408 wmdrmnet.dll
09.05.2006 22:26 155.136 wmidx.dll
09.05.2006 22:26 992.256 WMNetMgr.dll
09.05.2006 22:26 10.394.624 wmp.dll
09.05.2006 22:26 237.056 wmpasf.dll
09.05.2006 22:26 301.056 wmpdxm.dll
09.05.2006 22:26 433.152 wmpeffects.dll
09.05.2006 22:26 1.641.472 wmpencen.dll
09.05.2006 22:26 4.096 MP43DMOD.dll
09.05.2006 22:26 26.112 MsPMSNSv.dll
09.05.2006 22:26 165.376 MsPMSP.dll
09.05.2006 22:26 31.744 WMDMLOG.dll
09.05.2006 22:26 4.096 MP4SDMOD.dll
09.05.2006 22:26 135.680 wmpps.dll
09.05.2006 22:26 221.696 wmasf.dll
09.05.2006 22:26 306.688 MSWMDM.dll
09.05.2006 22:26 203.776 wmpsrcwp.dll
09.05.2006 22:26 4.096 wmsdmod.dll
09.05.2006 22:26 1.063.424 WMADMOE.dll
09.05.2006 22:26 417.280 wmdrmdev.dll
09.05.2006 22:26 221.696 SET4727.tmp
09.05.2006 22:26 4.096 wmsdmoe2.dll
09.05.2006 22:26 705.024 WMADMOD.dll
09.05.2006 22:26 564.736 WMSPDMOD.dll
09.05.2006 22:26 1.280.000 WMSPDMOE.dll
09.05.2006 22:26 4.096 wdfApi.dll
09.05.2006 22:26 4.096 WMVADVD.dll
09.05.2006 22:26 4.096 WMVADVE.DLL
09.05.2006 22:26 201.728 qasf.dll
09.05.2006 22:26 4.096 MPG4DMOD.dll
09.05.2006 22:26 4.096 wmvdmod.dll
09.05.2006 22:26 4.096 wmvdmoe2.dll
09.05.2006 22:26 36.864 WMDMPS.dll
09.05.2006 22:26 219.648 CEWMDM.dll
09.05.2006 22:26 212.480 msnetobj.dll
09.05.2006 22:26 9.728 LAPRXY.dll
09.05.2006 22:22 2.463.744 wmvcore.dll
09.05.2006 22:22 2.463.744 SET4735.tmp
09.05.2006 21:02 230.400 l3codecp.acm
09.05.2006 21:02 84.480 logagent.exe
09.05.2006 21:01 1.359.360 WMVSDECD.dll
09.05.2006 21:01 1.463.808 WMVDECOD.dll
09.05.2006 21:00 299.520 MP4SDECD.dll
09.05.2006 21:00 1.455.616 WMVENCOD.dll
09.05.2006 21:00 770.560 WMVSENCD.dll
09.05.2006 21:00 241.152 MPG4DECD.dll
09.05.2006 21:00 241.152 MP43DECD.dll
09.05.2006 21:00 636.928 WMVXENCD.dll
09.05.2006 21:00 546.816 wmpmde.dll
09.05.2006 21:00 382.976 MFPLAT.dll
09.05.2006 21:00 1.350.656 drmv2clt.dll
09.05.2006 20:59 513.536 wmdrmsdk.dll
09.05.2006 20:59 417.280 MSSCP.dll
09.05.2006 20:59 229.376 drmupgds.exe
09.05.2006 20:59 585.216 blackbox.dll
09.05.2006 20:58 13.824 wpdshextautoplay.exe
09.05.2006 20:58 52.224 WPDShServiceObj.dll
09.05.2006 20:58 670.208 wpd_ci.dll
09.05.2006 20:58 103.424 PortableDeviceWiaCompat.dll
09.05.2006 20:58 101.376 PortableDeviceClassExtension.dll
09.05.2006 20:58 188.928 PortableDeviceWMDRM.dll
09.05.2006 20:58 345.600 PortableDeviceApi.dll
09.05.2006 20:58 343.552 WPDSp.dll
09.05.2006 20:58 55.808 wpdmtpus.dll
09.05.2006 20:58 35.840 wpdconns.dll
09.05.2006 20:58 144.896 wpdmtp.dll
09.05.2006 20:58 13.312 wpdtrace.dll
09.05.2006 20:58 168.960 PortableDeviceTypes.dll
09.05.2006 20:57 11.264 ehETW.dll
09.05.2006 20:45 304.640 MSDelta.dll
09.05.2006 20:00 22.752 spupdsvc.exe
04.05.2006 06:26 5.818.784 MRT.exe
24.04.2006 20:43 34.308 BASSMOD.dll
20.04.2006 18:53 1.841 UTLDEFI.WLL
11.04.2006 14:30 93.752 WUDFCoinstaller.dll
11.04.2006 14:27 304.640 WUDFx.dll
11.04.2006 14:27 130.048 WudfHost.exe
11.04.2006 14:26 54.272 WudfSvc.dll
11.04.2006 14:26 158.208 WudfPlatform.dll
31.03.2006 09:38 222.432 FNTCACHE.DAT
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
28.02.2006 17:43 255 spupdwxp.log
27.02.2006 17:32 7.006 jupdate-1.5.0_06-b05.log
27.02.2006 14:51 3.149 jupdate-1.4.2_05-b04.log
25.02.2006 17:07 1.260 $winnt$.inf
23.02.2006 14:14 333 $ncsp$.inf
04.01.2006 05:35 68.096 webclnt.dll

Was meinst Du mit AV-Programm?

Wilhelm

So jetzt gehts weiter:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C1C-9E9A

Verzeichnis von C:\DOKUME~1\Wir\LOKALE~1\Temp

17.06.2006 16:29 222 jusched.log
1 Datei(en) 222 Bytes
0 Verzeichnis(se), 1.771.094.016 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C1C-9E9A

Verzeichnis von C:\WINDOWS

17.06.2006 14:53 1.190.756 WindowsUpdate.log
17.06.2006 08:34 3.794 KB918439.log
17.06.2006 08:33 4.062 KB917344.log
17.06.2006 08:33 3.593 KB911280.log
17.06.2006 08:33 3.493 KB917953.log
17.06.2006 08:33 3.785 KB916281.log
17.06.2006 08:33 3.393 KB914389.log
17.06.2006 08:31 0 0.log
17.06.2006 08:31 159 wiadebug.log
17.06.2006 08:31 50 wiaservc.log
17.06.2006 08:31 2.048 bootstat.dat
16.06.2006 22:36 32.626 SchedLgU.Txt
15.06.2006 20:15 1.190.956 ntbtlog.txt
14.06.2006 21:14 795 win.ini
11.06.2006 20:03 765 MIR.INI
05.06.2006 23:27 102.820 iis6.log
05.06.2006 23:27 113.749 ntdtcsetup.log
05.06.2006 23:27 181.729 comsetup.log
05.06.2006 23:27 1.355 imsins.log
05.06.2006 23:27 264.854 tsoc.log
05.06.2006 23:27 21.716 ocmsn.log
05.06.2006 23:27 14.190 KB913580.log
05.06.2006 23:27 364.534 ocgen.log
05.06.2006 23:27 33.771 msgsocm.log
05.06.2006 23:27 656.714 FaxSetup.log
05.06.2006 23:27 633.907 setupapi.log
05.06.2006 23:27 34.755 updspapi.log
25.05.2006 16:58 69 NeroDigital.ini
24.05.2006 14:44 75.851 spupdsvc.log
24.05.2006 14:44 193.850 wmsetup.log
23.05.2006 19:26 694 wmsetup10.log
23.05.2006 19:26 1.374 imsins.BAK
23.05.2006 19:26 15.813 wmp11.log
23.05.2006 19:25 12.507 Wudf01000Inst.log
23.05.2006 19:24 18.912 WMFDist11.log
23.05.2006 19:24 316.640 WMSysPr9.prx
20.05.2006 20:57 215.029 setupact.log
03.05.2006 14:26 11.123 KB900485.log
19.04.2006 17:09 15.384 KB908531.log
19.04.2006 17:09 14.148 KB885250.log
19.04.2006 17:09 14.579 KB911562.log
19.04.2006 17:09 13.480 KB887742.log
19.04.2006 17:09 50.295 KB887472.log
19.04.2006 17:09 16.663 KB912812.log
19.04.2006 17:08 5.973 KB886185.log
19.04.2006 17:08 3.390 KB885884.log
19.04.2006 17:08 10.935 KB911567.log
13.04.2006 22:22 237.773 KB873339.log
02.04.2006 17:32 35 Ulead32.INI
30.03.2006 18:30 1.248 ODBC.INI
30.03.2006 07:50 8.184 ModemLog_Smart Link 56K Modem.txt
28.03.2006 11:09 24 mainser
21.03.2006 15:18 257 psolaw1.ini
21.03.2006 15:18 232 wpsola.ini
21.03.2006 15:09 19 MG.INI
21.03.2006 14:29 0 ROUTE
14.03.2006 11:43 0 distlib.ini
09.03.2006 09:50 43 kwsl.xlic
09.03.2006 09:45 0 PROTOCOL.INI
08.03.2006 14:33 2.007 OEWABLog.txt
06.03.2006 15:50 24 magix.ini
02.03.2006 21:02 2.909 mozver.dat
02.03.2006 13:16 0 WS_FTP.CNV
02.03.2006 13:16 6 WS_FTP.EXT
02.03.2006 13:03 107.134 UninstallFirefox.exe
28.02.2006 17:53 216.510 KB904706.log
28.02.2006 17:52 813.175 setuplog.txt
28.02.2006 17:43 731 DtcInstall.log
28.02.2006 15:09 432.730 svcpack.log
28.02.2006 15:09 203.156 KB913446.log
28.02.2006 15:08 215.115 KB912919.log
28.02.2006 15:07 241.776 KB911927.log
28.02.2006 15:07 225.060 KB910437.log
28.02.2006 15:06 211.819 KB908519.log
28.02.2006 15:05 214.028 KB905749.log
28.02.2006 15:04 224.754 KB905414.log
28.02.2006 15:03 243.319 KB902400.log
28.02.2006 15:01 222.359 KB901214.log
28.02.2006 15:00 233.882 KB901017.log
28.02.2006 14:58 220.705 KB900725.log
28.02.2006 14:57 234.671 KB899591.log
28.02.2006 14:55 243.475 KB899587.log
28.02.2006 14:54 209.396 KB896428.log
28.02.2006 14:52 236.803 KB896424.log
28.02.2006 14:51 233.571 KB896423.log
28.02.2006 14:50 241.883 KB896422.log
28.02.2006 14:50 233.807 KB896358.log
28.02.2006 14:49 235.040 KB893756.log
28.02.2006 14:48 221.605 KB891781.log
28.02.2006 14:48 215.326 KB890859.log
28.02.2006 14:47 223.359 KB890046.log
28.02.2006 14:45 214.391 KB888302.log
28.02.2006 14:45 229.504 KB888113.log
28.02.2006 14:44 235.584 KB885836.log
28.02.2006 14:43 241.057 KB885835.log
28.02.2006 14:38 200 cmsetacl.log
28.02.2006 14:38 4.885 sessmgr.setup.log
27.02.2006 13:27 4.758 xpsp1hfm.log
27.02.2006 13:27 37.129 KB835732.log
27.02.2006 13:21 27.516 KB898458.log
27.02.2006 13:20 38.495 KB905495.log
27.02.2006 13:20 28.149 KB911564.log
27.02.2006 13:16 18.193 KB905915-IE6SP1-20051122.175908.log
27.02.2006 13:06 16.636 KB835409.log
27.02.2006 13:06 6.520 KB911565.log
27.02.2006 11:54 5.709 KB842773.log
27.02.2006 11:53 6.448 KB893803v2.log
27.02.2006 11:53 7.031 KB898461.log
27.02.2006 11:03 59 vbaddin.ini
27.02.2006 11:02 1.408.122 setupapi.log.0.old
26.02.2006 13:00 258 nsw.log
25.02.2006 21:19 857 orun32.ini
25.02.2006 20:54 13.107 LUINSTALL.LOG
25.02.2006 20:32 2 msoffice.ini
25.02.2006 17:04 2.750 regopt.log
25.02.2006 17:03 632 setuperr.log
27.05.2005 01:22 10.752 hh.exe
07.01.2005 07:55 136.330 DirectX.log
07.01.2005 07:35 4.807 KB822603.log
07.01.2005 07:14 197.043 orun32.isu
07.01.2005 07:13 9.940 KB823980.log
07.01.2005 07:13 7.078 Q815485.log
07.01.2005 07:12 3.039 Q327979.log
07.01.2005 07:04 0 control.ini
07.01.2005 07:04 299.552 WMSysPrx.prx
07.01.2005 07:03 4.161 ODBCINST.INI
07.01.2005 07:02 749 WindowsShell.Manifest
07.01.2005 07:01 36 vb.ini
07.01.2005 06:58 0 Sti_Trace.log
07.01.2005 06:55 231 system.ini
22.08.2004 17:04 69.120 daemon.dll
13.08.2004 12:33 1.208 mgxoschk.ini
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 153.600 regedit.exe
04.08.2004 09:58 70.144 notepad.exe
04.08.2004 09:57 1.035.264 explorer.exe
04.08.2004 09:57 50.688 twain_32.dll
07.01.2004 16:00 61 smscfg.ini
07.01.2004 15:51 253.952 Setup1.exe
07.01.2004 15:51 74.752 ST6UNST.EXE
07.01.2004 15:11 628.922 SIGVERIF.TXT
07.01.2004 15:03 8.192 REGLOCS.OLD
07.01.2004 13:54 335 nsreg.dat
07.01.2004 13:30 2.019 NewRecorder.reg
07.01.2004 13:30 1.674.114 Recorder.reg
07.01.2004 12:12 39.890 Windows Update.log
07.01.2004 12:11 30.796 KB810243.log
07.01.2004 12:08 27.783 Q322011.log
07.01.2004 12:08 27.954 Q814995.log
07.01.2004 12:07 27.181 KB817778.log
07.01.2004 12:05 24.630 KB820291.log
07.01.2004 12:04 23.479 KB821253.log
07.01.2004 12:04 22.051 KB829558.log
07.01.2004 12:02 24.643 KB826942.log
07.01.2004 12:01 21.111 Q828026.log
07.01.2004 12:00 18.530 dahotfix.log
07.01.2004 12:00 19.464 KB824146.log
07.01.2004 11:59 16.404 KB824141.log
07.01.2004 11:58 17.789 KB823182.log
07.01.2004 11:57 20.502 KB824105.log
07.01.2004 11:56 21.641 KB826939.log
07.01.2004 11:53 9.503 KB825119.log
07.01.2004 11:53 6.773 KB828035.log
02.04.2003 14:00 16.730 Feder.bmp
02.04.2003 14:00 25.600 twunk_32.exe
02.04.2003 14:00 94.800 twain.dll
02.04.2003 14:00 1.272 Blaue Spitzen 16.bmp
02.04.2003 14:00 26.680 F„cher.bmp
02.04.2003 14:00 82.944 clock.avi
02.04.2003 14:00 80 explorer.scf
02.04.2003 14:00 17.062 Kaffeetasse.bmp
02.04.2003 14:00 65.954 Pr„riewind.bmp
02.04.2003 14:00 707 _default.pif
02.04.2003 14:00 15.872 TASKMAN.EXE
02.04.2003 14:00 17.362 Rhododendron.bmp
02.04.2003 14:00 17.336 Angler.bmp
02.04.2003 14:00 65.832 Santa Fe-Stuck.bmp
02.04.2003 14:00 1.405 msdfmap.ini
02.04.2003 14:00 2 desktop.ini
02.04.2003 14:00 257.568 winhelp.exe
02.04.2003 14:00 26.582 Granit.bmp
02.04.2003 14:00 48.680 winnt.bmp
02.04.2003 14:00 48.680 winnt256.bmp
02.04.2003 14:00 9.522 Zapotek.bmp
02.04.2003 14:00 65.978 Seifenblase.bmp
02.04.2003 14:00 34.818 wmprfDEU.prx
02.04.2003 14:00 49.680 twunk_16.exe
02.04.2003 14:00 18.944 vmmreg32.dll
03.03.2003 17:25 34.304 ieuninst.exe
03.03.2003 16:25 34.304 Q330994.exe
17.01.2003 01:47 24.576 slrundll.exe
17.12.1999 11:13 86.016 unvise32.exe
23.11.1998 13:53 304.128 unin0407.exe
17.11.1998 14:44 328.704 IsUn0407.exe
29.10.1998 17:45 306.688 IsUninst.exe
25.09.1998 15:16 270.848 Unwise32.exe
16.02.1998 15:38 6.006 Unwise32.ini
197 Datei(en) 23.017.665 Bytes
0 Verzeichnis(se), 1.771.057.152 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C1C-9E9A

Verzeichnis von C:\

17.06.2006 17:09 0 sys.txt
17.06.2006 17:08 10.051 system.txt
17.06.2006 17:07 290 systemtemp.txt
17.06.2006 16:40 98.500 system32.txt
17.06.2006 08:30 1.073.270.784 hiberfil.sys
17.06.2006 08:30 1.610.612.736 pagefile.sys
19.03.2006 22:49 26.992 pdatime.log
28.02.2006 14:38 211 boot.ini
28.02.2006 14:28 47.564 NTDETECT.COM
28.02.2006 14:28 251.184 ntldr
07.01.2005 07:04 0 MSDOS.SYS
07.01.2005 07:04 0 CONFIG.SYS
07.01.2005 07:04 0 IO.SYS
07.01.2005 07:04 0 AUTOEXEC.BAT
07.01.2004 13:55 497 IPH.PH
07.01.2004 13:05 267 o2micro.cfg
02.04.2003 14:00 4.952 bootfont.bin
17 Datei(en) 2.684.324.028 Bytes
0 Verzeichnis(se), 1.771.057.152 Bytes frei

So das wars.

Wilhelm

Das sieht gut aus. Mit AV-Programm meine ich ein Antivirenprogramm, wie zum Beispiel Antivir www.free-av.de

Danke für Deine Hilfe, ich hoffe, dass ich nun ruhe habe. Werde mir noch ein AV-Programm installieren.

Wilhelm

Da das Problem geloest ist, werde ich den Thread schliessen. Falls du noch etwas hinzufuegen moechtest, dann schreib mir einfach eine PM und ich werde den Thread wieder oeffnen.