Hallo ans Forum, hallo hugo,
ich habe, wie von Dir vorgeschlagen, AD Aware und ewido runtergeladen, sodann die gesamte Sicherheits-Software (AntiVir, Spyboot, ewido, Ad Aware und Regfreeze) mit einem aktuellen update ausgestattet, die Wiederherstellungskonsole deaktiviert, Rechner im abgesicherten Modus als Admin gestartet und gescannt. Es wurden insgesamt 28 infizierte Dateien festgestellt, isoliert und gelöscht. Neustart und onlinescan waren damit i.O.
Hier nun das neue Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 20:25:23, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Skype Telefonie\Phone\Skype.exe
F:\Spyboot\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\lmplus\LMI_V118.EXE
C:\lmplus\LMP_V159.EXE
F:\TravelFoxx Online - Desktop Edition\traffics.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\lmplus\buma\BUMA_120.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spyboot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] G:\Skype Telefonie\Phone\Skype.exe /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spyboot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lmiagent.lnk = C:\lmplus\lmiAgent.exe
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: RaptisoftGameLoader -
http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1A18FE14-BE0D-11D3-BCB4-005056333319} (Zoom Teletext Control) -
https://secure.zoom.de/rtlmm/cug/textzoom.cab
O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) -
http://real.gamehouse.com/games/tumblebugs/axhost.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F5EDCD56-696F-4C50-BE2D-83871EFD0707} (Mylmweb.MyLmwebCTL) -
http://www.mylmweb.de/lmi/codemod/MyLmweb.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC1855DA-4F4A-4EF4-B41B-EC9E82D695E7}: NameServer = 192.168.178.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CompiCleanNT5 Server (CCNTSVR) - Unknown owner - G:\Sytemprogramme\CompiCleanNT5\CCNTSVR.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Die Auswertung bei hijacks brachte bis auf die LMplus-Geschichten und dem miniclip-Gameloader keine Warnungen. Insoweit bin ich beinahe zufrieden gewesen.
Schaut Euch bitte dieses Logfile nochmal an und sagt Eure Meinung dazu. Es scheint nämlich doch noch irgendwo was zu stecken. AntiVir gibt beim öffnen des Exploreres immer noch wiederholten Alarm wegen folgender Datei aus: TR/Dldr.Agent.BZU3.
Im normalen scan taucht der nicht auf. Der angegebene Dateifad c:\Windows\Temp\7.tmp läuft ins Nirwarna.
Die Virenmeldung kommt nach dem Wegdrücken (Löschen) bis zu 5 mal neu... dann nicht mehr.
Grüße aus Oberfranken
Uwe