Page 1 of 2 12 LastLast
Results 1 to 10 of 14

Thread: Malware: Smitfraud-C. und Virtumonde Probleme lassen sich nicht für immer beheben

  1. #1
    Junior Member
    Join Date
    Sep 2008
    Posts
    7

    Default Malware: Smitfraud-C. und Virtumonde Probleme lassen sich nicht für immer beheben

    Hallo liebes Support-Team,

    ich habe die Malware Smitfraud-C. und Virtmonde auf meinem Rechner.
    Kann mir bitte jemand Hinweise geben, wie ich diese am besten entfernen kann? Ich habe schon einige Thread gelesen und einiges ausprobiert. Ich hoffe ich erfülle hiermit trotzdem noch alle Kriterien für das öffnen einen eigenen Threads.

    Vielen Dank für Eurer Bemühen.

    Hier meine HJT-Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:47, on 2008-09-08
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    C:\Programme\OfficeScan NT\ntrtscan.exe
    C:\Programme\OfficeScan NT\tmlisten.exe
    C:\Programme\OfficeScan NT\ofcdog.exe
    C:\WINNT\system32\ctfmon.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\hkcmd.exe
    C:\WINNT\system32\igfxpers.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\OfficeScan NT\pccntmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Dokumente und Einstellungen\prak8040\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
    C:\WINNT\system32\slqnufeh.exe
    C:\Programme\Livelink Explorer\LLSynch3.exe
    C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe


    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
    O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: LLIEHlprObj Class - {F757FBBF-10E5-4DDA-BBEA-2357E54BEA2B} - C:\Programme\Livelink Explorer\LLBHO3.DLL
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\prak8040\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [MsgMntCmd] C:\WINNT\system32\slqnufeh.exe
    O4 - HKCU\..\Run: [DbStr] C:\WINNT\system32\zglwzcle.exe
    O4 - HKCU\..\Run: [CmdShHlp] C:\WINNT\system32\etqtmjsn.exe
    O4 - HKCU\..\Run: [winmnt] C:\WINNT\system32\rwhuhete.exe
    O4 - HKCU\..\Run: [SetStr] C:\WINNT\system32\vinwbqnw.exe
    O4 - HKCU\..\Run: [ChkMntCom] C:\WINNT\system32\gtctgngp.exe
    O4 - HKCU\..\Run: [StrChkDb] C:\WINNT\system32\dizcbifs.exe
    O4 - Startup: Livelink Explorer Synchronizer.lnk = C:\Programme\Livelink Explorer\LLSynch3.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\system32\shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1216807689896
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/downlo...BundleId=23100
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
    O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan NT\tmlisten.exe
    O23 - Service: SMS Remote Control Agent (Wuser32) - Unknown owner - C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe (file missing)

    --
    End of file - 9903 bytes

  2. #2
    Senior Member
    Join Date
    Oct 2005
    Location
    Germany
    Posts
    5,263

    Default

    Hallo,

    Beenden Sie folgenden Prozess (CTRL+ALT+DEL):
    Running processes:
    C:\WINNT\system32\slqnufeh.exe

    Bitte löschen Sie folgende Einträge mit Hijackthis:

    O4 - HKCU\..\Run: [DbStr] C:\WINNT\system32\zglwzcle.exe
    O4 - HKCU\..\Run: [CmdShHlp] C:\WINNT\system32\etqtmjsn.exe
    O4 - HKCU\..\Run: [winmnt] C:\WINNT\system32\rwhuhete.exe
    O4 - HKCU\..\Run: [SetStr] C:\WINNT\system32\vinwbqnw.exe
    O4 - HKCU\..\Run: [ChkMntCom] C:\WINNT\system32\gtctgngp.exe
    O4 - HKCU\..\Run: [StrChkDb] C:\WINNT\system32\dizcbifs.exe

    Bitte starten Sie Ihren PC anschliessend neu.

    Mit freundlichen Grüßen
    Sandra
    Team Spybot

  3. #3
    Junior Member
    Join Date
    Sep 2008
    Posts
    7

    Default

    Hi Spybotsandra,

    Vielen Dank für den schnellen Support. Wie kann ich mit HijackThis die Eingträge löschen? Oder soll ich die Windows registry nutzen?
    Sollte ich dann anschließend noch die besagten .exe-Dateien vom System entfernen?

    Vielen Dank im Voraus.

  4. #4
    Senior Member
    Join Date
    Oct 2005
    Location
    Germany
    Posts
    5,263

    Default

    Hallo,

    Öffnen Sie HijackThis und wählen "Do a system scan only".
    Dann klicken Sie die Boxen vor folgenden Einträgen an:

    O4 - HKCU\..\Run: [DbStr] C:\WINNT\system32\zglwzcle.exe
    O4 - HKCU\..\Run: [CmdShHlp] C:\WINNT\system32\etqtmjsn.exe
    O4 - HKCU\..\Run: [winmnt] C:\WINNT\system32\rwhuhete.exe
    O4 - HKCU\..\Run: [SetStr] C:\WINNT\system32\vinwbqnw.exe
    O4 - HKCU\..\Run: [ChkMntCom] C:\WINNT\system32\gtctgngp.exe
    O4 - HKCU\..\Run: [StrChkDb] C:\WINNT\system32\dizcbifs.exe

    Schliessen Sie nun alle Programme ausser Hijackthis, auch den Browser.
    Drücken Sie nun auf "Fix Checked".
    Starten Sie den Computer neu.

    Mit freundlichen Grüßen
    Sandra
    Team Spybot

  5. #5
    Junior Member
    Join Date
    Sep 2008
    Posts
    7

    Default

    Hallo Spybotsandra,

    ich befürchte fast, dass ich slqnufeh.exe hätte auch löschen müssen, da ich immer noch mit spybot smitfraud-c drauf hab.


    Hier nochmals meine HJT-Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:17, on 2008-09-08
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    C:\Programme\OfficeScan NT\ntrtscan.exe
    C:\Programme\OfficeScan NT\tmlisten.exe
    C:\Programme\OfficeScan NT\ofcdog.exe
    C:\Programme\Internet Explorer\IExplore.exe
    C:\WINNT\system32\ctfmon.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\hkcmd.exe
    C:\WINNT\system32\igfxpers.exe
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\OfficeScan NT\pccntmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Dokumente und Einstellungen\prak8040\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
    C:\WINNT\system32\slqnufeh.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Programme\Livelink Explorer\LLSynch3.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\WINNT\system32\taskmgr.exe
    C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
    O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: LLIEHlprObj Class - {F757FBBF-10E5-4DDA-BBEA-2357E54BEA2B} - C:\Programme\Livelink Explorer\LLBHO3.DLL
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\prak8040\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [MsgMntCmd] C:\WINNT\system32\slqnufeh.exe
    O4 - Startup: Livelink Explorer Synchronizer.lnk = C:\Programme\Livelink Explorer\LLSynch3.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\system32\shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1216807689896
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/downlo...BundleId=23100
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
    O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan NT\tmlisten.exe
    O23 - Service: SMS Remote Control Agent (Wuser32) - Unknown owner - C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe (file missing)

    --
    End of file - 9680 bytes
    Last edited by raman; 2009-01-21 at 16:57. Reason: Links entfernt.....

  6. #6
    Senior Member
    Join Date
    Oct 2005
    Location
    Germany
    Posts
    5,263

    Default

    Hallo,

    Bitte löschen Sie auch noch slqnufeh.exe.

    Mit freundlichen Grüßen
    Sandra
    Team Spybot

  7. #7
    Junior Member
    Join Date
    Sep 2008
    Posts
    7

    Default

    Hallo Spybotsandra,

    ich habe die zuletzt genannte Datei in HijackThis gelöscht.
    Die Malware war jedoch noch nicht weg.

    Zusätzlich habe ich die von Ihnen oben genannten exe-Dateien im SystemOrdner gelöscht.

    Anschließend Neustart wie von Ihnen empfohlen.
    Dann nochmals Spybot laufen lassen, der hat zwar dann noch FastClick, MediaPlex und WebTrendsLive gefunden, die konnten aber problemlos von Spybot entfernt werden.

    Ich danke Ihnen 1000 mal für Ihren zügigen Support. Sie sind ein Engel. :D

    Alles funktioniert auf meinem System wieder einwandfrei.

  8. #8
    Senior Member
    Join Date
    Oct 2005
    Location
    Germany
    Posts
    5,263

    Default

    Freut mich zu hören.

  9. #9
    Expert-Visiting Fellow
    Join Date
    Oct 2005
    Location
    Nordhorn/Germany
    Posts
    853

    Default

    Ein paar nachtraege meinerseits. Bitte daran denken, eines der beiden AV Programme zu deaktivieren, bzw deinstallieren, da 2 Hintergrundwaechter schaedlich fuer die Systemstabilitaet ist.
    Der Loeschkandidat waere hier Antivir Personal Edition

    Hijackthis alleine laesst keinen (kompletten) Rueckschluss zu, ob das System wirklich sauber ist.

    Da ich hier von einem Firmenrechner ausgehe, waere zu beachten, was die Firma in solchen Faellen (verseuchter Rechner) vorschreibt.

    Ein etwas besseren Ueberblick schafft hier Rsit

    • Download random's system information tool (RSIT) by random/random from here and save it to your desktop.
    • Double click on RSIT.exe to run RSIT.
    • Click Continue at the disclaimer screen.
    • Once it has finished, two logs will open. Please post the contents of both log.txt (<<will be maximized) and info.txt (<<will be minimized)
    MfG Ralf

  10. #10
    Junior Member
    Join Date
    Sep 2008
    Posts
    7

    Default

    Hi Spybotsandra,

    könntet ihr die Einträge löschen? Man kann die bei Google so gut finden und ich würde ungern die urls die in meinen posts sind finden. Außerdem steht der User des Rechners in den Posts.

    Vielen Dank im Voraus.

    Liebe Grüße,

    kopfschmerzen
    Last edited by kopfschmerzen; 2009-01-21 at 15:44.

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •