Diskussion zu: Windows Live Messenger

Goldstück · 25.06.2008, 12:45

und hier nochmals eine Doofe die sich diesen blöden Virus eingefangen hat ,das heißt nicht ich, aber Sohnemann

war zu neugierig

ich hoffe es kann mir eine(r) helfen,Systemwiederherstelung funktioniert nicht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:18, on 25.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\Programme\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetec t.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.funnyboard.de/jgs_portal.php?sid=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer 7 optimiert für MSN
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: {d11e2aec-0df8-565b-79a4-b46bc9932701} - {1072399c-b64b-4a97-b565-8fd0cea2e11d} - C:\WINDOWS\system32\pjkkcvkl.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: (no name) - {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9} - C:\WINDOWS\system32\geBsTMCS.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O2 - BHO: (no name) - {B4F217C1-9A65-47E5-B66B-ECE0ABFC1FEE} - C:\WINDOWS\system32\byXPIcbx.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [DLCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCCtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SBI] C:\Dokumente und Einstellungen\Anita\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SL23H3WU\install_sbd_de[1].exe
O4 - HKLM\..\Run: [00e48685] rundll32.exe "C:\WINDOWS\system32\eckvhehy.dll",b
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [BM03d7b519] Rundll32.exe "C:\WINDOWS\system32\vetfgife.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetec t.exe /R
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Programme\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg. htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {13149882-F480-4F6B-8C6A-0764F75B99ED} (CrazyTalk4 Control) - http://plug-in.reallusion.com/CrazyTalk4.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper200711281.dl l
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase4009.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1177423525812
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: geBsTMCS - C:\WINDOWS\SYSTEM32\geBsTMCS.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: dlcc_device - - C:\WINDOWS\system32\dlcccoms.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 12311 bytes

Nikwin · 25.06.2008, 15:35

Zitat:

Zitat von babyface81

und was mache ich jetzt..?

Du startest HiJackThis nocheinmal, klickst auf "Do a system scan only", markierst in der Liste links den genannten Eintrag und klickst dann auf "Fix checked".
- Sollte das Problem weiterhin bestehen, machst du dies alles mal im abgesicherten Modus (F8 ).

Nikwin · 25.06.2008, 15:48

@ Goldstück

O4 - HKCU\..\Run: [messengerskinner] C:\Programme\MessengerSkinner\MessengerSkinner.exe muss gefixt werden.

IchGoogleAlles · 25.06.2008, 17:07

@Goldstück
Eigentlich kann man dir nur die Empfehlung geben, den Rechner neu aufzusetzen.

Fixen:

Zitat:

O2 - BHO: {d11e2aec-0df8-565b-79a4-b46bc9932701} - {1072399c-b64b-4a97-b565-8fd0cea2e11d} - C:\WINDOWS\system32\pjkkcvkl.dll
O2 - BHO: (no name) - {AC519E4E-EDF0-48C7-8ADA-2A4A5B1C81C9} - C:\WINDOWS\system32\geBsTMCS.dll
O2 - BHO: (no name) - {B4F217C1-9A65-47E5-B66B-ECE0ABFC1FEE} - C:\WINDOWS\system32\byXPIcbx.dll
O4 - HKLM\..\Run: [SBI] C:\Dokumente und Einstellungen\Anita\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SL23H3WU\install_sbd_de[1].exe
O4 - HKLM\..\Run: [00e48685] rundll32.exe "C:\WINDOWS\system32\eckvhehy.dll",b
O4 - HKLM\..\Run: [BM03d7b519] Rundll32.exe "C:\WINDOWS\system32\vetfgife.dll",s
O4 - HKCU\..\Run: [messengerskinner] C:\Programme\MessengerSkinner\MessengerSkinner.exe
O20 - Winlogon Notify: geBsTMCS - C:\WINDOWS\SYSTEM32\geBsTMCS.dll

Unnötig (auch fixen):

Zitat:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetec t.exe /R
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

ciao, andreas

Goldstück · 25.06.2008, 20:07

Zitat:

Zitat von IchGoogleAlles

@Goldstück
Eigentlich kann man dir nur die Empfehlung geben, den Rechner neu aufzusetzen.

ciao, andreas

Danke für die Empfehlung ,daran hatte ich auch schon gedacht ,aber ehrlich gesagt habe ich ein großes Grauen davor,weil halt doch Daten von 3 Leute auf dem Rechner sind,das würde für mich viel Arbeit bedeuten um alles wieder neu drauf zu spielen,deshalb versuche ich es lieber mal auf diese Art und Weise

babyface81 · 26.06.2008, 00:31

ok es ist schon mal verschwunden dieses R3 - URLSearchHook: (no name) - - (no file)
jetzt bin ich mal gespannt ob auch alles ruhe haben die in meiner msn liste stehen...

also jetzt schon mal tausend DANK an EUCH..!!!!

ich schau mal vieleicht klappts ja nicht dann habt ihr mich wieder am hals

Fette grüsse aus mönchengladbach..!!!

babyface81 · 26.06.2008, 23:10

oh oh oh

ich habe immer noch probleme...
mein msn meldet sich sogar von alleine an obwohl mein pc aus ist,und schickt dann wieder diese adresse zu allen die on sind....

oh man was mache ich jetzt..?dachte ich hab den scheiss hinter mir

gibts noch einen anderen weg oder soll ich formatieren..?

derkapuuuteben · 27.06.2008, 20:13

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:11:38, on 27.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
E:\WINXP\System32\smss.exe
E:\WINXP\system32\winlogon.exe
E:\WINXP\system32\services.exe
E:\WINXP\system32\lsass.exe
E:\WINXP\system32\Ati2evxx.exe
E:\WINXP\system32\svchost.exe
E:\WINXP\System32\svchost.exe
E:\WINXP\system32\svchost.exe
E:\WINXP\system32\Ati2evxx.exe
E:\WINXP\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
E:\WINXP\Explorer.EXE
e:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
e:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
E:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
E:\Programme\McAfee\MPF\MPFSrv.exe
E:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
E:\Programme\SiteAdvisor\6261\SAService.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\WINXP\system32\svchost.exe
E:\Programme\Samsung\Samsung EDS\EDSAgent.exe
E:\WINXP\RTHDCPL.EXE
E:\WINXP\AGRSMMSG.exe
E:\Programme\Synaptics\SynTP\SynTPEnh.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
E:\Programme\McAfee.com\Agent\mcagent.exe
E:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Programme\*******\CloneCD\CloneCDTray.exe
E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
E:\WINXP\system32\ctfmon.exe
E:\Programme\MSN Messenger\MsnMsgr.Exe
D:\DAEMON Tools\daemon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Qlikworld\RSSR eader\RSSReader.exe
E:\Programme\ICQ6\ICQ.exe
E:\Programme\Veoh Networks\Veoh\VeohClient.exe
E:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
E:\WINXP\System32\svchost.exe
E:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
E:\Programme\SiteAdvisor\6261\SiteAdv.exe
E:\Programme\MSN Messenger\usnsvc.exe
E:\WINXP\wksvcsc.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - E:\Programme\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - E:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - E:\Programme\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [EDS] E:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StartCCC] E:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] E:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [mcagent_exe] E:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] E:\Programme\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [CloneCDTray] "E:\Programme\*******\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISUSPM] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows UDP Control Services] wksvcsc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] E:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [RssReader] "E:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Qlikworld\RSSR eader\RSSReader.exe" /Autostart
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Veoh] "E:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Pinnacle Streaming Server.lnk = E:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - E:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://turnier.freenet.de/ctl/kingcomie.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...77/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF96C33C-4154-4B14-B97B-A56AD79A0D8C}: NameServer = 24.129.114.64,66.92.233.130
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINXP\system32\Ati2evxx.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - E:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - e:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - E:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - e:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - E:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - E:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - E:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - E:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: SiteAdvisor Service - Unknown owner - E:\Programme\SiteAdvisor\6261\SAService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 12757 bytes

kann mir jemand helfen?? danke ... bin mir recht sicher den virus geholt zu haben!

immorb · 28.06.2008, 09:30

Zitat:

Zitat von babyface81

oh oh oh

ich habe immer noch probleme...
mein msn meldet sich sogar von alleine an obwohl mein pc aus ist,und schickt dann wieder diese adresse zu allen die on sind....

Vermutlich wurde dein Passwort/Account "gestohlen".
Also Passwort ändern.

Zitat:

Zitat von derkapuuuteben

bin mir recht sicher den virus geholt zu haben!

Woher die Vermutung?

Dies ist auf jedenfall der Bösewicht:
O4 - HKLM\..\Run: [Windows UDP Control Services] wksvcsc.exe

Dies sind unbekannte Programme/Prozesse:
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Da ARCOR die "Y**P***" Seite nicht mehr sperrt,ist dieser Eintrag auch nicht mehr nötig:
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF96C33C-4154-4B14-B97B-A56AD79A0D8C}: NameServer = 24.129.114.64,66.92.233.130

m.f.G.

FreewareGuide · 28.06.2008, 10:05

Zitat:

Zitat von immorb

Da ARCOR die "Y**P***" Seite nicht mehr sperrt,ist dieser Eintrag auch nicht mehr nötig:
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF96C33C-4154-4B14-B97B-A56AD79A0D8C}: NameServer = 24.129.114.64,66.92.233.130

:breitgri:

babyface81 · 28.06.2008, 17:42

und wenn ich mein passwort geändert habe was dann..?

der meldet sich doch immernoch von alleine dann ab oder nicht..?

Cubert · 01.07.2008, 10:29

Hallo Loide...

Also, ich als alter PC Hase hätte NIE gedacht, das ich blindlinks einen Link klicke, ohne nachzudenken, aber der Link kam von einer Freundin mit dem Text: "Du Fotos auf Youtube?!?!?! LINK xyz" ... dämlich wie ich war, hab ich geklickt und es erschien nur ein weisser Bildschirm...
BLÖD wie ich war hab ich verzweifelt versucht irgendwas zu öffen *dafürgehöreichgevierteilt*, aber nix passierte ...
Hm...Spybot sprang nich an und antivir auch nicht...

Bis dann der Link nochmal kam und ich gesagt habe...ey da is nix, warum schickst du mir so einen Müll! Müll?! *stutz* SCHEISSE DU IDIOT *REDALERT*INCOMING MISSLE* -.- zuspät...

Naja, uns wurde klar, das da scheisse über den MSN kam...

Sooo, danach habe ich per Fernwartung Ihren PC versucht durch diverse Scanner und Proggis ausgenscheinlich clean zu bekommen...meinen PC natürlich auch.
Ich habe HiJackThis noch nich laufen lassen, da ich erst heite auf Eure Tipps hier stoße...
Dazu kurz ein paar Fragen...

Ich bekomme von meiner Freundin diese Bilderlinks nicht mehr, sie wohl von mir auch nicht, wobei mein PC wohl nie welche verschickt hat...
Sie bekommt allerdings noch diese Links geschickt, was für mich bedeutet, das der Kontakt, der Ihr den Link schickt noch ein verseuchtes System hat, oder? Und nicht das System von meiner Freundin verseucht ist, oder?
Und, solange keiner von uns mehr den Link klickt, kann man sich "so einfach" nix mehr ins Haus holden, oder?

Werde jedenfalls heute HiJackThis ausprobieren und denke das LogFile auch auswerten zu können...

BTW:
Was könnte sowas bedeuten:
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
und
O4 - HKLM\..\RunOnce: [MP11_EnsureDeviceRescan] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wpd_ci.dll,DoCmd remove rescan
...für sowas müsste ich Euch dann nochmal zu Rate ziehen...

Melde mich wieder....drecks MSN, am Besten nich benutzen, wa?

Cubert · 02.07.2008, 12:49

Ich nochmal,

also hab gestern son Tool laufen lassen das hiess, ehm, "cleanvirusmsn" oder so, hat zwar nix gefunden, aber als es eine Datei "angegrabbelt" hat, hat sich der Wurm wohl erschreckt und AntiVir sprang sofort an...
War in einer bla.com.part Datei versteckt.
Lt. Antivir ein IRC-Bot Wurm, verbreitet sich wohl über Messenger (nur über MSN oder auch mein ICQ gefährdet?).

Also hab den gelöscht, in der Virenbeschreibung stand auch was von "erstellt im Windowsverzeichnis Datei blabla", aber die gabs nich, auch in der Registry war nicht der angegebene Schlüssel zu finden...evtl. liegts am Vista und Adminrechtenimmerfreigebenmüssenfüränderungen?

Fies finde ich ja, das Antivir erst angeschlagen hat, als nen anderes Proggi die Datei angepackt hat.
Sollte ich evtl. nen AntivScan über alle Dateien laufen lassen und nicht nur "intelligente Dateiauswahl (was das auch sein mag (.exe, .dll., ...?).

HiJackThis hat nichts weltbewegendes festgestellt, nur auch ein O2- BHO bla wie im Post vorher...ich hab den gekillt...

So long...

Sawyer · 13.07.2008, 18:15

So, hallo erstmal. Nachdem ich nun einige Internetforen durchgelesen habe hoffe ich, dass ihr mir helfen könnt. Ich hab mir auch diesen Virus eingefangen, und zwar durch klicken eines Links den ich über MSN bekommen hab. Nun verschickt mein MSN (auch wenn ich nicht online bin) dauernd einen Link an alle aus meiner MSN-Liste. Hab MSN schon deinstalliert, hat aber nix geholfen. AntiVir sowie "Clean Virus MSN" finden nix. hijackthis sagt folgendes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:01, on 13.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.menoffaith.de/forum
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\2758\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\2758\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\2758\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photoupl...che=1214307726
O17 - HKLM\System\CCS\Services\Tcpip\..\{246CD771-B3AB-4405-9060-0860CBB84B6B}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{246CD771-B3AB-4405-9060-0860CBB84B6B}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 5954 bytes

Danke schon mal im Voraus für die kompetente Hilfe

Nimax · 14.07.2008, 02:56

Hallo Sawyer,

dein Logfile ist soweit sauber. Bis auf
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.meinvz.net/photoupl...che=1214307726
hier solltest du prüfen, ob du die Adresse kennst. Falls nicht - fixen.

Ansonsten würde ich zur üblichen Vorgehensweise raten:
1. Spybot S&D runterladen und installieren (Bei der Installation den "Teatimer" deaktivieren).
2. Systemwiederherstellung deaktivieren.
3. Neu starten im abgesicherten Modus.
4. Spybot S&D starten und alles löschen was gefunden wird.
5. Neu starten

immorb · 16.07.2008, 17:26

Zitat:

Zitat von Sawyer

Nun verschickt mein MSN dauernd einen Link

Was wird verschickt?

Zitat:

Zitat von Sawyer

[...](auch wenn ich nicht online bin)[...]

Dann wurde dein Account gestohlen.
Ändere dein Passwort.

m.f.G.

sandra_x33 · 07.01.2009, 13:40

hab diesen virus auch
[ich verschick so einen link wo iwas mit weihnachten steht]

ich hab mit hijackthis so einen scan gemacht und auch die fehlerhaften dateien mit häckchen versehen und dann auf fix checked aber da passiert nichts
wenn man dann auf config un bei den backups alle löscht passiert auch nichts

was mach ich falsch?

IchGoogleAlles · 07.01.2009, 16:35

Zitat:

[ich verschick so einen link wo iwas mit weihnachten steht]

Kannst du mir einen Gefallen tun und mir diesen Link als PN zuschicken?

Wenn ich weiß, was es ist, dann können wir hier eine Anleitung reinstellen, wie man den wegbekommt.

Zitat:

ich hab mit hijackthis so einen scan gemacht und auch die fehlerhaften dateien mit häckchen versehen und dann auf fix checked aber da passiert nichts
wenn man dann auf config un bei den backups alle löscht passiert auch nichts

was mach ich falsch?

Nichts oder Alles. Am Besten wäre es, diesen Thread zu schliessen, da die Viren und Bots, die zur Zeit über MSN verbreitet werden, um einiges fieser und um Größenordnungen schwerer zu beseitigen sind. Bei Befall mit einem Bot hilft nur noch Neuaufsetzen.

ciao, andreas

FreewareGuide · 07.01.2009, 16:48

Zitat:

Zitat von IchGoogleAlles

Am Besten wäre es, diesen Thread zu schliessen, da die Viren und Bots, die zur Zeit über MSN verbreitet werden, um einiges fieser und um Größenordnungen schwerer zu beseitigen sind.

Dein Wunsch ist mir Befehl...

Gilt auch für @sandra_x33 dann, Du sollst also keineswegs abgewürgt werden, aber wenn Du ein neues Thema aufmachst, ist es übersichtlicher und Dir besser zu helfen.

Grüße,
Thorsten