hallo! würde mich freuen, wenn mir helfen würde. ich trau mich nichts alleine. und brauche es ein bisschen idiotenverständlich. also, "mach log von AVENGER" ist mir leider zu unklar, da versteh ich nur bahnhof. bitte...

hab mit HiJackThis aber schon was versucht, wenn ich den button "Do asystem scan andsave a logfile" anklicke kommt folgendes in der "editor"-datei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41:43, on 28.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V2.00\SiSWLSvc.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Soulseek\slsk.exe
C:\Programme\Opera\Opera.exe
C:\Programme\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO1A.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\johann\cftmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\johann\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/ ... leId=19588
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V2.00\SiSWLSvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 5703 bytes

Hallo

poste den Report von Windowsscan
http://www.virus-protect.org/artikel/to ... sscan.html


C:\WINDOWS\system32\IEBHO1A.dll
scanne dieses auf Virustotal, poste den Report
http://www.virustotal.com/de/

Hallo,

das ist diese Veseuchung (Info)
http://virus-protect.org/artikel/spywar ... pools.html

mache also folgendes:

0.
Start -- Ausführen -- schreib rein: cmd
kopiere von hier aus rein:

sc stop Schedule

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Schedule

[klicke "enter"]

-------------------------------------------------------

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO1A.dll

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\johann\cftmon.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\johann\cftmon.exe

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

2.
wende sdfix im abgesicherten Modus an - poste nach neustart den report
http://virus-protect.org/artikel/tools/sdfix.html

3.
wende combofix an ´warnmeldung wegklicken - poste den report hier
http://virus-protect.org/artikel/tools/combofix.html

dann erstelle ich ein script, mit dem man die ganze Malware entfernen kann

@ Humdinger

Report von Windows Scan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

29.04.2008 0.log 18 06:0
29.04.2008 WindowsUpdate.log 18 06:1.811.901
29.04.2008 bootstat.dat 18 04:2.048
29.04.2008 ntbtlog.txt 17 58:134.736
28.04.2008 NeroDigital.ini 18 13:69
27.04.2008 wmsetup.log 19 39:20.412
26.04.2008 iis6.log 14 05:98.822
26.04.2008 comsetup.log 14 05:237.657
26.04.2008 imsins.log 14 05:1.374
26.04.2008 ntdtcsetup.log 14 05:140.508
26.04.2008 ocmsn.log 14 05:35.466
26.04.2008 tsoc.log 14 05:248.532
26.04.2008 KB947864-IE7.log 14 05:20.841
26.04.2008 ocgen.log 14 05:313.270
26.04.2008 msgsocm.log 14 05:31.979
26.04.2008 FaxSetup.log 14 05:632.223
26.04.2008 setupapi.log 14 05:608.831
26.04.2008 updspapi.log 14 05:60.965
26.04.2008 imsins.BAK 14 03:1.374
26.04.2008 KB938127-IE7.log 14 03:10.908
25.04.2008 spupdsvc.log 18 01:6.240
25.04.2008 COM+.log 17 59:4.350
25.04.2008 wiaservc.log 17 59:50
25.04.2008 wiadebug.log 17 59:216
25.04.2008 KB899587.log 17 14:103.544
25.04.2008 KB927779.log 17 14:99.503
25.04.2008 KB927802.log 17 14:100.068


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

29.04.2008 ftp33.dll 18 06:5.120
26.04.2008 tmp.exe 11 36:44.520
25.04.2008 perfh009.dat 19 15:380.350
25.04.2008 perfc009.dat 19 15:52.764
25.04.2008 perfh007.dat 19 15:391.000
25.04.2008 perfc007.dat 19 15:63.580
25.04.2008 PerfStringBackup.INI 19 15:897.954
25.04.2008 FNTCACHE.DAT 18 00:129.296
25.04.2008 TZLog.log 16 56:138.648
25.04.2008 MRT.INI 16 54:206
21.04.2008 IEBHO5B.dll 20 42:82.060
21.04.2008 wpa.dbl 19 34:13.646
17.04.2008 jupdate-1.6.0_05-b13.log 19 12:6.641
17.04.2008 IEBHO2C.dll 16 41:81.827
09.04.2008 IEBHO12.dll 18 04:78.222
08.04.2008 IEBHO35.dll 21 55:78.469
08.04.2008 IEBHO5C.dll 17 18:78.469
05.04.2008 MRT.exe 22 56:19.836.024
31.03.2008 IEBHO26.dll 21 01:77.185
28.03.2008 IEBHO03.dll 19 51:77.184
28.03.2008 IEBHO21.dll 18 39:77.184
28.03.2008 IEBHO11.dll 18 39:77.184
28.03.2008 IEBHO2B.dll 18 39:77.184
28.03.2008 IEBHO05.dll 18 39:77.184
28.03.2008 IEBHO1D.dll 18 39:77.184
28.03.2008 IEBHO3F.dll 18 39:77.184
28.03.2008 IEBHO2D.dll 18 39:77.184
28.03.2008 IEBHO0F.dll 18 39:77.184
28.03.2008 IEBHO43.dll 18 39:77.184
28.03.2008 IEBHO25.dll 18 39:77.184
27.03.2008 IEBHO.dll 18 35:77.066
20.03.2008 win32k.sys 10 03:1.845.376
01.03.2008 mshtml.dll 18 24:3.591.680
01.03.2008 wininet.dll 14 54:826.368
01.03.2008 webcheck.dll 14 54:233.472
01.03.2008 url.dll 14 54:105.984
01.03.2008 urlmon.dll 14 54:1.159.680
01.03.2008 pngfilt.dll 14 54:44.544
01.03.2008 msrating.dll 14 54:193.024
01.03.2008 occache.dll 14 54:102.912
01.03.2008 mstime.dll 14 54:671.232
01.03.2008 mshtmled.dll 14 54:478.208
01.03.2008 msfeedsbs.dll 14 53:52.224
01.03.2008 msfeeds.dll 14 53:459.264
01.03.2008 inetcpl.cpl 14 53:1.831.424
01.03.2008 jsproxy.dll 14 53:27.648
01.03.2008 iertutil.dll 14 53:267.776


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****




Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 29.04.2008 um 18:09:15,42 ***



diese Datein

C:\WINDOWS\system32\IEBHO1A.dll

habe ich nicht mehr, vielleicht weil ich vorher schon etwas davon gemacht hab, was Nikita gesagt hat...

@ Nikita

diese datei:

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

hat HiJackThis bei mir nicht angezeigt... komisch, aber den rest hab ich so gemacht.




report von SDFix:

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\johann\cftmon.exe - Deleted
C:\Dokumente und Einstellungen\LocalService\cftmon.exe - Deleted
C:\WINDOWS\system32\IEBHO.dll - Deleted
C:\WINDOWS\system32\IEBHO03.dll - Deleted
C:\WINDOWS\system32\IEBHO05.dll - Deleted
C:\WINDOWS\system32\IEBHO0F.dll - Deleted
C:\WINDOWS\system32\IEBHO11.dll - Deleted
C:\WINDOWS\system32\IEBHO12.dll - Deleted
C:\WINDOWS\system32\IEBHO1D.dll - Deleted
C:\WINDOWS\system32\IEBHO21.dll - Deleted
C:\WINDOWS\system32\IEBHO25.dll - Deleted
C:\WINDOWS\system32\IEBHO26.dll - Deleted
C:\WINDOWS\system32\IEBHO2B.dll - Deleted
C:\WINDOWS\system32\IEBHO2C.dll - Deleted
C:\WINDOWS\system32\IEBHO2D.dll - Deleted
C:\WINDOWS\system32\IEBHO35.dll - Deleted
C:\WINDOWS\system32\IEBHO3F.dll - Deleted
C:\WINDOWS\system32\IEBHO43.dll - Deleted
C:\WINDOWS\system32\IEBHO5B.dll - Deleted
C:\WINDOWS\system32\IEBHO5C.dll - Deleted
C:\WINDOWS\system32\tmp.exe - Deleted
C:\WINDOWS\system32\drivers\spools.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 18:36:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG10.00.00.01WORKSTATION"="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"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6D5DAABE-0E1C-12C0-B84E-F9C75D925BD2}]

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\PROGRA~1\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 9 Feb 2004 15,360 A..HR --- "C:\WINDOWS\system32\drivers\NetMotCM.sys"

Finished!












Combo Fix Report

((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-29 ))))))))))))))))))))))))))))))
.

2008-04-29 18:47 . 2008-04-29 18:47 <DIR> d-------- C:\Programme\CCleaner
2008-04-29 18:26 . 2008-04-29 18:26 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-29 18:20 . 2008-04-29 18:52 <DIR> d-------- C:\Programme\Antivir
2008-04-29 17:32 . 2008-04-29 18:40 <DIR> d-------- C:\Programme\SDFix
2008-04-29 17:25 . 2008-04-29 17:25 <DIR> d-------- C:\Programme\backups
2008-04-28 14:53 . 2008-04-29 18:10 5,120 --a------ C:\Dokumente und Einstellungen\johann\ftp33.dll
2008-04-26 11:51 . 2008-04-26 11:51 <DIR> d-------- C:\Programme\Avira
2008-04-26 11:40 . 2008-04-26 11:45 22,322,568 --a------ C:\Programme\antivir_workstation8_winu_de_h.exe
2008-04-26 11:26 . 2008-04-26 11:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-26 11:09 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-26 11:09 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-26 11:09 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-26 11:09 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-26 11:09 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-26 11:09 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-26 11:09 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-26 11:09 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-26 11:08 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-25 17:19 . 2008-04-25 17:19 401,720 --a------ C:\Programme\HiJackThis.exe
2008-04-25 17:12 . 2008-04-26 14:05 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-25 16:59 . 2006-02-28 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-25 16:54 . 2008-04-25 16:54 206 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-24 18:00 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-22 15:14 . 2008-04-22 15:19 <DIR> d-------- C:\Programme\EA SPORTS
2008-04-17 19:17 . 2008-04-17 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\johann\.housecall6.6
2008-04-17 19:12 . 2008-04-17 19:12 <DIR> d-------- C:\WINDOWS\Sun
2008-04-17 19:12 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-17 19:11 . 2008-04-17 19:12 <DIR> d-------- C:\Programme\Java
2008-04-17 19:08 . 2008-04-17 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-16 14:06 . 2008-04-29 18:10 5,120 --a------ C:\WINDOWS\system32\ftp33.dll
2008-04-14 19:03 . 2008-04-29 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\johann\Anwendungsdaten\OpenOffice.org2
2008-04-14 19:01 . 2008-04-14 19:01 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-04-05 10:04 . 2008-04-05 10:04 <DIR> d---s---- C:\Dokumente und Einstellungen\johann\UserData
2008-04-01 21:54 . 2008-04-11 04:51 101 --a------ C:\WINDOWS\CMMIXER.INI
2008-04-01 18:32 . 2008-04-28 17:21 <DIR> d-------- C:\Programme\Soulseek
5 Datei(en) . 4,724,929 C:\ComboFix\Bytes
3 Datei(en) . 28,946,664 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-23 11:57 --------- d-----w C:\Programme\NBA Live 2008
2008-04-07 15:43 --------- d-----w C:\Programme\Opera
2008-04-01 20:38 --------- d-----w C:\Programme\Sharing
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-12 13:22 --------- d-----w C:\Programme\ElsterFormular
2008-03-12 13:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-03-10 18:28 --------- d-----w C:\Dokumente und Einstellungen\johann\Anwendungsdaten\Hamachi
2008-03-09 22:00 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-05 17:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-05 17:08 --------- d-----w C:\Programme\Elster Steuererklärung
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-02 16:40 6,222,376 ----a-w C:\Programme\DivXWebPlayerInstaller.exe
2001-08-18 12:00 5,020 ----a-w C:\WINDOWS\inf\61883.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2001-11-15 12:08 1216512 C:\WINDOWS\mixer.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2005-06-06 19:05 2614496]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-20 00:21 196608]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\johann\Startmen

Hallo,

http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

C:\Dokumente und Einstellungen\johann\ftp33.dll
C:\WINDOWS\system32\ftp33.dll
C:\WINDOWS\system32\tmp.exe
C:\WINDOWS\system32\IEBHO5B.dll
C:\WINDOWS\system32\IEBHO2C.dll
C:\WINDOWS\system32\IEBHO12.dll
C:\WINDOWS\system32\IEBHO35.dll
C:\WINDOWS\system32\IEBHO5C.dll
C:\WINDOWS\system32\IEBHO26.dll
C:\WINDOWS\system32\IEBHO03.dll
C:\WINDOWS\system32\IEBHO21.dll
C:\WINDOWS\system32\IEBHO11.dll
C:\WINDOWS\system32\IEBHO2B.dll
C:\WINDOWS\system32\IEBHO05.dll
C:\WINDOWS\system32\IEBHO1D.dll
C:\WINDOWS\system32\IEBHO3F.dll
C:\WINDOWS\system32\IEBHO2D.dll
C:\WINDOWS\system32\IEBHO0F.dll
C:\WINDOWS\system32\IEBHO43.dll
C:\WINDOWS\system32\IEBHO25.dll
C:\WINDOWS\system32\IEBHO.dll

Klicke auf den Roten MoveIt!

«
poste, was rechts im Fenster erscheint

»»
PC neustarten

«

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Code: Alles auswählen

cd\
dir "C:\WINDOWS\inf" >>files.txt
notepad files.txt


bei OTMoveIt steht rechts

File/Folder C:\Dokumente und Einstellungen\johann\ftp33.dll not found.
File/Folder C:\WINDOWS\system32\ftp33.dll not found.
File/Folder C:\WINDOWS\system32\tmp.exe not found.
File/Folder C:\WINDOWS\system32\IEBHO5B.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO2C.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO12.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO35.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO5C.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO26.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO03.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO21.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO11.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO2B.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO05.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO1D.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO3F.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO2D.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO0F.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO43.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO25.dll not found.
File/Folder C:\WINDOWS\system32\IEBHO.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04302008_133736



neustarten...

listen.bat gab folgendes heraus

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3CD6-68FD

Verzeichnis von C:\WINDOWS\inf

28.02.2006 14:00 15.770 1394.inf
19.01.2008 00:15 16.528 1394.PNF
28.02.2006 14:00 2.732 1394vdbg.inf
19.01.2008 00:15 5.644 1394vdbg.PNF
28.02.2006 14:00 35.360 3dfxvs2k.inf
19.01.2008 00:17 28.836 3dfxvs2k.PNF
28.02.2006 14:00 5.020 61883.inf
19.01.2008 00:15 7.264 61883.PNF
18.08.2001 14:00 5.020 61883.tmp
02.08.2001 16:58 3.527 845.INF
18.01.2008 19:34 5.544 845.PNF
28.02.2006 14:00 51.948 accessor.inf
19.01.2008 00:15 48.732 accessor.PNF
28.02.2006 14:00 6.492 acerscan.inf
19.01.2008 00:17 10.292 acerscan.PNF

««
scannen (im abgesicherten Modus) mit: Dr.Web
http://virus-protect.org/cureit.html

poste dann hier den report
+
ein neues Log von Combofix

DR.Web gibt keinen log heraus. steht nur unten, dass keine viren gefunden wurden, oder so...

ComboFix report ist hier:

((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-30 ))))))))))))))))))))))))))))))
.

2008-04-30 14:30 . 2008-04-30 14:30 <DIR> d-------- C:\Dokumente und Einstellungen\johann\DoctorWeb
2008-04-30 13:37 . 2008-04-30 13:37 <DIR> d-------- C:\_OTMoveIt
2008-04-29 18:47 . 2008-04-29 18:47 <DIR> d-------- C:\Programme\CCleaner
2008-04-29 18:26 . 2008-04-29 18:26 <DIR> d-------- C:\WINDOWS\ERUNT
2008-04-29 18:20 . 2008-04-30 14:57 <DIR> d-------- C:\Programme\Antivir
2008-04-29 17:32 . 2008-04-29 18:40 <DIR> d-------- C:\Programme\SDFix
2008-04-29 17:25 . 2008-04-29 17:25 <DIR> d-------- C:\Programme\backups
2008-04-26 11:51 . 2008-04-26 11:51 <DIR> d-------- C:\Programme\Avira
2008-04-26 11:40 . 2008-04-26 11:45 22,322,568 --a------ C:\Programme\antivir_workstation8_winu_de_h.exe
2008-04-26 11:26 . 2008-04-26 11:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-26 11:09 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-26 11:09 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-26 11:09 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-26 11:09 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-26 11:09 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-26 11:09 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-26 11:09 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-26 11:09 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-26 11:08 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-25 17:19 . 2008-04-25 17:19 401,720 --a------ C:\Programme\HiJackThis.exe
2008-04-25 17:12 . 2008-04-26 14:05 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-25 16:59 . 2006-02-28 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-04-25 16:54 . 2008-04-25 16:54 206 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-24 18:00 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-22 15:14 . 2008-04-22 15:19 <DIR> d-------- C:\Programme\EA SPORTS
2008-04-17 19:17 . 2008-04-17 21:01 <DIR> d-------- C:\Dokumente und Einstellungen\johann\.housecall6.6
2008-04-17 19:12 . 2008-04-17 19:12 <DIR> d-------- C:\WINDOWS\Sun
2008-04-17 19:12 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-17 19:11 . 2008-04-17 19:12 <DIR> d-------- C:\Programme\Java
2008-04-17 19:08 . 2008-04-17 19:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-14 19:03 . 2008-04-30 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\johann\Anwendungsdaten\OpenOffice.org2
2008-04-14 19:01 . 2008-04-14 19:01 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-04-05 10:04 . 2008-04-05 10:04 <DIR> d---s---- C:\Dokumente und Einstellungen\johann\UserData
2008-04-01 21:54 . 2008-04-11 04:51 101 --a------ C:\WINDOWS\CMMIXER.INI
2008-04-01 18:32 . 2008-04-28 17:21 <DIR> d-------- C:\Programme\Soulseek
2008-03-26 19:26 . 2008-03-26 19:26 <DIR> d-------- C:\WINDOWS\vbSkinner
2008-03-12 15:22 . 2008-03-12 15:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-03-10 00:00 . 2008-03-10 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\johann\Anwendungsdaten\Hamachi
2008-03-10 00:00 . 2008-03-10 00:00 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-09 18:43 . 2008-04-23 13:57 <DIR> d-------- C:\Programme\NBA Live 2008
2008-03-05 19:11 . 2008-03-05 19:11 <DIR> d-------- C:\Dokumente und Einstellungen\johann\ElsterFormular
2008-03-05 19:10 . 2008-03-12 15:22 <DIR> d-------- C:\Programme\ElsterFormular
2008-03-05 19:08 . 2008-03-05 19:08 <DIR> d-------- C:\Programme\Elster Steuererklärung
4 Datei(en) . 4,719,809 C:\ComboFix\Bytes
3 Datei(en) . 28,946,664 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-07 15:43 --------- d-----w C:\Programme\Opera
2008-04-01 20:38 --------- d-----w C:\Programme\Sharing
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-05 17:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-02 16:40 6,222,376 ----a-w C:\Programme\DivXWebPlayerInstaller.exe
2001-08-18 12:00 5,020 ----a-w C:\WINDOWS\inf\61883.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2001-11-15 12:08 1216512 C:\WINDOWS\mixer.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2005-06-06 19:05 2614496]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-20 00:21 196608]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\johann\Startmen

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

OTMoveIt
klicken: CleanUp! button
cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

dann sollte wieder alles o.k. sein..
P-s: aktiviere die Firewall !

vielen vielen dank!