TM/Vundo.gen lässt sich nicht entfernen

31.03.2008, 23:16
...neu hier

Beiträge: 1
#1 Hallo,

mein System ist mit dem Trojaner TM/Vundo.Gen infiziert und tobt sich vor allem in C:/Windows/System32/fcyyv.dll aus.

Ich hab schon einiges probiert- allerdings noch ohne Erfolg. Ich hab mal nen HiJack-Log erstellt, der da so aussieht.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:24, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\DTV\RemoteControl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Marc\ICQ 6\ICQ6\ICQ.exe
C:\Programme\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Admistrator\Eigene Dateien\ICQ\274385680\ReceivedFiles\401774765 Juniorfeuerwehrmann\OTMoveIt2.exe
C:\Marc\MediaMonkey\MediaMonkey.exe
C:\Dokumente und Einstellungen\Admistrator\Eigene Dateien\ICQ\274385680\ReceivedFiles\401774765 Juniorfeuerwehrmann\HiJackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3055295A-CCDD-44B2-9F73-D8E8E626E5C1} - C:\WINDOWS\system32\cbxuvwv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {D81650B3-B473-47AF-910A-DAD929F5C188} - C:\WINDOWS\system32\fcyyv.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSN Messenger] live.messenger.com
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Marc\ICQ 6\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EnDisEU3.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d3cc4a7d7cd54b628dcafd774fc10218
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d3cc4a7d7cd54b628dcafd774fc10218
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Marc\Party Poker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Marc\Party Poker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Marc\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Marc\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Marc\ICQ 6\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Marc\ICQ 6\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171229398694
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171306274472
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbxuvwv - C:\WINDOWS\SYSTEM32\cbxuvwv.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10433 bytes


Ich weiß- das Thema gibts schon ein paarmal, aber alle gebotenen Lösungen haben nicht funktioniert- sorry ;)

Wenn ihr mir helfen würdet, wäre das echt nett.

LG
Seitenanfang Seitenende
01.04.2008, 11:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {3055295A-CCDD-44B2-9F73-D8E8E626E5C1} - C:\WINDOWS\system32\cbxuvwv.dll

O2 - BHO: (no name) - {D81650B3-B473-47AF-910A-DAD929F5C188} - C:\WINDOWS\system32\fcyyv.dll

O4 - HKLM\..\Run: [MSN Messenger] live.messenger.com

O20 - Winlogon Notify: cbxuvwv - C:\WINDOWS\SYSTEM32\cbxuvwv.dll
««
wende bitte Combofix an + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 23:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3

Zitat

Hallo Sabina,

erstmal echt vielen lieben Dank für deine Hilfe bei meinem Trojaner-Problem. Ich hab das Vundo.Gen drauf gehabt und nen HiJack-Log ersellt, sollte jetzt noch ein ComboFix-Log. Bisher siehts ganz toll aus. keine Meldung und Auswirkungen hab ich noch nichts weiter, die ich nicht beheben könnte^^

ComboFix 08-04-01.2 - Admistrator 2008-04-02 23:05:05.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.291 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admistrator\Eigene Dateien\ICQ\274385680\ReceivedFiles\401774765 Juniorfeuerwehrmann\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cbxuvwv.dll
C:\WINDOWS\system32\fcyyv.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\vyycf.ini
C:\WINDOWS\system32\vyycf.ini2
C:\WINDOWS\system32\xxyyvvt.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-02 bis 2008-04-02 ))))))))))))))))))))))))))))))
.

2008-04-01 22:51 . 2008-04-01 22:51 <DIR> d-------- C:\_OTMoveIt
2008-03-29 12:51 . 2008-03-29 12:51 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-29 12:51 . 2008-03-29 12:51 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-29 12:03 . 2006-10-20 06:08 8,192 --a------ C:\WINDOWS\system32\wnaspi32.dll
2008-03-29 11:32 . 2008-03-29 11:32 9 --a------ C:\WINDOWS\system32\bcbff14d
2008-03-15 22:18 . 2008-03-15 22:18 <DIR> d-------- C:\Programme\Microsoft SQL Server Compact Edition
2008-03-15 22:09 . 2008-03-17 01:45 <DIR> d-------- C:\Programme\Windows Live
2008-03-15 22:09 . 2008-03-15 22:13 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-15 22:08 . 2008-03-15 22:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-10 11:40 . 2004-01-22 06:41 46,944 -ra------ C:\WINDOWS\system32\drivers\CoachUsb.sys
2008-03-10 11:40 . 2004-02-03 09:09 41,984 -ra------ C:\WINDOWS\system32\CoachWia.dll
2008-03-10 11:40 . 2004-01-06 07:10 8,192 -ra------ C:\WINDOWS\system32\CoachWrp.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-01 20:10 --------- d-----w C:\Programme\Avira
2008-04-01 20:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-01 19:48 --------- d-----w C:\Programme\ICQToolbar
2008-03-29 12:30 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-03-24 20:59 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\LimeWire
2008-03-24 20:07 --------- d-----w C:\Programme\PokerStars.NET
2008-03-11 17:13 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\Skype
2008-02-29 10:14 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\ICQ Toolbar
2008-02-28 19:47 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\InstallShield
2008-02-11 16:15 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\AdobeUM
2008-02-11 14:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-05 23:12 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\Teleca
2008-02-05 23:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-02-05 23:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-02-05 23:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-02-05 23:08 --------- d-----w C:\Programme\Sony Ericsson
2008-02-05 12:38 --------- d-----w C:\Dokumente und Einstellungen\Admistrator\Anwendungsdaten\Ulead Systems
2008-02-01 10:17 587,776 ----a-w C:\WINDOWS\WLXPGSS.SCR
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ICQ"="C:\Marc\ICQ 6\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-05-14 14:20 54784 C:\WINDOWS\SOUNDMAN.EXE]
"CHotkey"="mHotkey.exe" [2001-12-26 15:12 472576 C:\WINDOWS\mHotkey.exe]
"ATIModeChange"="Ati2mdxx.exe" [2003-06-03 10:46 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-03-30 22:00 327680]
"DTVRemote"="C:\Programme\DTV\RemoteControl.exe" [2005-06-10 15:30 40960]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-01-15 19:28 108160]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2004-09-07 17:25 1400944]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:36 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-10 16:27 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxuvwv]
cbxuvwv.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UVS10 Preload"=C:\Marc\Ulead\uvPL.exe
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"iTunesHelper"="C:\Marc\iTunesHelper.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Dokumente\\Marc\\ICQ 6\\ICQ.exe"=
"C:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=
"C:\\Marc\\LimeWire\\LimeWire.exe"=
"C:\\Marc\\ICQ 6\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3003:UDP"= 3003:UDP:newport

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2007-02-11 22:16]
R3 TIACXLN;TI ACX100 WLAN Adapter;C:\WINDOWS\system32\DRIVERS\tiacxln.sys [2003-07-28 10:35]
S2 ClipInc001;ClipInc 001;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
S2 ClipInc002;ClipInc 002;C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
S2 LVEzLoader;EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);C:\WINDOWS\system32\Drivers\LVEzLD06.sys [2005-05-19 05:48]
S3 AVHybrid;AVHybrid service;C:\WINDOWS\system32\DRIVERS\AVHybrid.sys [2005-08-12 15:24]
S3 LifeView_USBDVBT;LVUSB Service;C:\WINDOWS\system32\Drivers\AVUSB_TX.sys [2005-06-16 06:08]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 16:32:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-02-04 12:00:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-04-02 20:48:01 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"

wollte das nicht allzu offen in die Foren posten, wei ja doch hier und da ein paar daten drinne stehen, die nicht jeder wissen muss...

wenn du nochmal nachlesen solltest, worum es geht hier war mein post:

http://board.protecus.de/t33198-lastpage.htm

Nocchmals vielen Dank für deine Mühe!!!

KEEP ON ROCKIN'! LG

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2008, 23:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo Keksdose

bitte keine Logs per pN posten, macht nur unnötige Arbeit.

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O20 - Winlogon Notify: cbxuvwv - C:\WINDOWS\SYSTEM32\cbxuvwv.dll
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\SYSTEM32\cbxuvwv.dll
C:\WINDOWS\system32\bcbff14d
Klicke auf den Roten MoveIt!
-----------------------------------------------

klicken: CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

»»
scanne + lasse alles entfernen, was gefunden wird
http://www.virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »