TR/Vundo.Gen - vtUnmnoo.dll - Antivirus 2009

03.07.2008, 18:55
Member

Beiträge: 24
#1 guten tag zusammen.
ich habe folgendes problem: avira antivir erkennt ein trojanisches pferd namens TR/Vundo.Gen und der pfad ist C:\WINDOWS\system32\vtUnmnoo.dll
antivir kann ihn nicht entfernen oder sonst irgendwas. außerdem fehlt der arbeitsplatz auf dem desktop und im startmenü und wenn ich in den taskmanager möchte bekommt ich eine meldung, dass der administrator diesen deaktiviert hat. auf c:\ kann ich auch nicht zugreifen, da es in der liste vom arbeitsplatz fehlt.
lg PaterP

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49: VIRUS ALERT!, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
F:\Programme\ICQ6\ICQ.exe
C:\Programme\Antivirus 2009\av2009.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\GUARDGUI.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {28220052-D9A9-44B1-AB98-EDC594D238B6} - C:\WINDOWS\system32\cbXRLdeb.dll
O2 - BHO: (no name) - {48BD7643-4EEC-41DC-A66C-E2528BB07A6F} - C:\WINDOWS\system32\vtUnmnoo.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: QXK Olive - {EBD82173-92C5-42F9-8A62-B573912E1F7B} - C:\WINDOWS\kgqfweltkxw.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - F:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: nqgpedlr - {08E11E95-E8E4-43DD-B762-43F2159C8759} - C:\WINDOWS\nqgpedlr.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nTrayFw] F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [pviever] "C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe" hide
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [ICQ] "F:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [44394935231969130644302268456194] C:\Programme\Antivirus 2009\av2009.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d1d614041d184554b74fa100c92eceeb
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d1d614041d184554b74fa100c92eceeb
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O20 - Winlogon Notify: cbXRLdeb - C:\WINDOWS\SYSTEM32\cbXRLdeb.dll
O21 - SSODL: okmdepgb - {DDDAC140-3844-4AB7-836A-6BA07F794302} - C:\WINDOWS\okmdepgb.dll (file missing)
O21 - SSODL: axrfgvek - {5A40C070-1293-4969-A47B-3B64B75B475A} - C:\WINDOWS\axrfgvek.dll (file missing)

O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11386 bytes
__________
_______________________
LG PaterP
Seitenanfang Seitenende
03.07.2008, 19:02
Moderator

Beiträge: 5694
#2 Hallo PaterP

««
wende cleaner an und lösche die temporären Dateien
http://www.ccleaner.de/?protecus.de

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {28220052-D9A9-44B1-AB98-EDC594D238B6} - C:\WINDOWS\system32\cbXRLdeb.dll

O2 - BHO: (no name) - {48BD7643-4EEC-41DC-A66C-E2528BB07A6F} - C:\WINDOWS\system32\vtUnmnoo.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: QXK Olive - {EBD82173-92C5-42F9-8A62-B573912E1F7B} - C:\WINDOWS\kgqfweltkxw.dll (file missing)

O3 - Toolbar: nqgpedlr - {08E11E95-E8E4-43DD-B762-43F2159C8759} - C:\WINDOWS\nqgpedlr.dll

O4 - HKLM\..\Run: [pviever] "C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe" hide

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - Winlogon Notify: cbXRLdeb - C:\WINDOWS\SYSTEM32\cbXRLdeb.dll

O21 - SSODL: okmdepgb - {DDDAC140-3844-4AB7-836A-6BA07F794302} - C:\WINDOWS\okmdepgb.dll (file missing)

O21 - SSODL: axrfgvek - {5A40C070-1293-4969-A47B-3B64B75B475A} - C:\WINDOWS\axrfgvek.dll (file missing)
««
wende rvaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

««
wende Combofix an / Warnmeldung wegklicken - + poste den report
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
03.07.2008, 20:30
Member

Themenstarter

Beiträge: 24
#3 ---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\oonmnUtv.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\Dokumente und Einstellungen\Besitzer\Local Settings\Temp\_isA2.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Besitzer\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Besitzer\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Besitzer\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\Besitzer\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\Besitzer\FAVORI~1\Spyware&Malware Protection.url

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------


(Edit)
sorry, bei combofix ist was schiefgelaufen, hab es erneut durchlaufen lassen



ComboFix 08-07-02.5 - Besitzer 2008-07-03 21:01:33.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1170 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Besitzer\Desktop\Antivirus 2009.lnk
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Antivirus 2009
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Antivirus 2009\Antivirus 2009.lnk
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Antivirus 2009\Uninstall Antivirus 2009.lnk
C:\Programme\Antivirus 2009
C:\Programme\Antivirus 2009\av2009.exe
C:\WINDOWS\eolk.exe
C:\WINDOWS\system32\cgtmcaur.ini
C:\WINDOWS\system32\efxpipei.ini
C:\WINDOWS\system32\oonmnUtv.ini
C:\WINDOWS\system32\oonmnUtv.ini2
C:\WINDOWS\system32\scui.cpl
C:\WINDOWS\system32\vtUnmnoo.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-03 20:19 . 2008-07-03 20:19 268 --ah----- C:\sqmdata02.sqm
2008-07-03 20:19 . 2008-07-03 20:19 244 --ah----- C:\sqmnoopt02.sqm
2008-07-03 20:13 . 2008-07-03 20:13 268 --ah----- C:\sqmdata01.sqm
2008-07-03 20:13 . 2008-07-03 20:13 244 --ah----- C:\sqmnoopt01.sqm
2008-07-03 20:04 . 2008-07-03 20:04 268 --ah----- C:\sqmdata00.sqm
2008-07-03 20:04 . 2008-07-03 20:04 244 --ah----- C:\sqmnoopt00.sqm
2008-07-03 20:02 . 2008-07-03 20:03 <DIR> d-------- C:\RVAXO
2008-07-03 20:01 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-07-03 20:01 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-07-02 19:35 . 2008-07-02 19:35 <DIR> d-------- C:\Programme\Avira
2008-07-02 19:25 . 2008-07-02 19:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-01 18:06 . 2008-07-01 18:06 28,288 --a------ C:\WINDOWS\system32\cbXRLdeb.dll
2008-07-01 18:05 . 2008-07-01 14:15 155,648 --a------ C:\WINDOWS\nqgpedlr.dll
2008-07-01 18:05 . 2008-07-01 14:15 81,920 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-06-14 11:45 . 2008-06-14 11:46 <DIR> d-------- C:\Programme\buffed
2008-06-11 16:23 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 16:23 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 15:43 . 2008-07-03 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-06-09 15:42 . 2008-06-09 15:42 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-06-07 23:09 . 2008-06-07 23:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 15:12 2,229,248 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-06-28 13:19 2,621,440 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-06-28 13:19 2,217,984 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-06-28 12:39 2,217,472 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-06-28 10:37 2,216,960 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-06-22 10:18 6,857,752 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-21 15:11 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-06-15 09:50 2,211,328 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-06-08 15:20 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\gtk-2.0
2008-06-01 08:45 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2008-05-27 18:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Atari
2008-05-27 18:44 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2008-05-27 18:44 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Leadertech
2008-05-27 18:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-24 18:30 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DivX
2008-05-24 16:17 --------- d-----w C:\Programme\DivX
2008-05-13 01:53 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-13 01:53 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 01:53 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-05-13 01:53 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-13 01:53 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-13 01:51 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-13 01:51 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-13 01:49 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 01:49 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-11 20:26 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Cakewalk
2008-05-11 20:23 --------- d-----w C:\Programme\Cakewalk
2008-05-11 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cakewalk
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-26 09:01 2,084,864 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28220052-D9A9-44B1-AB98-EDC594D238B6}]
2008-07-01 18:06 28288 --a------ C:\WINDOWS\system32\cbXRLdeb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RemoteCenter"="C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 17:35 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 01:00 45056]
"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 18:06 45056]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-26 09:33 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-26 09:34 86016]
"nTrayFw"="F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2005-04-29 18:22 266240]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 12:47 180269]
"QuickTime Task"="F:\Programme\QuickTime\QTTask.exe" [2007-12-11 11:56 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"WinampAgent"="F:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-02-12 10:06 262401]
"CTHelper"="CTHELPER.EXE" [2003-10-06 08:57 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2005-07-26 09:34 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{28220052-D9A9-44B1-AB98-EDC594D238B6}"= "C:\WINDOWS\system32\cbXRLdeb.dll" [2008-07-01 18:06 28288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXRLdeb]
2008-07-01 18:06 28288 C:\WINDOWS\system32\cbXRLdeb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"F:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"F:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"F:\\DerStuff\\Eigene Dateien\\ICQ Lite\\492588233\\479247647 Semjon\\Warcraft III 1.17 Crack\\war3.exe"=
"F:\\Programme\\Anno 1701\\Anno1701.exe"=

R2 antivirwebservice;Avira AntiVir Premium WebGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE" [2008-04-09 15:57]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-02-07 10:06]
R2 PfDetNT;PfDetNT;C:\WINDOWS\system32\drivers\PfModNT.sys [2003-03-05 13:19]
S2 ramdisk;AR Soft RAM Disk Service;C:\WINDOWS\system32\DRIVERS\ramdisk.sys [2008-02-18 17:06]
S3 scrcap;scrcap;C:\WINDOWS\system32\DRIVERS\scrcap.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-07-03 17:54:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-CTSysVol - C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 21:02:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\cbXRLdeb.dll
.
Zeit der Fertigstellung: 2008-07-03 21:03:30
ComboFix-quarantined-files.txt 2008-07-03 19:03:18

11 Verzeichnis(se), 4,589,506,560 Bytes frei
13 Verzeichnis(se), 4,576,845,824 Bytes frei

174 --- E O F --- 2008-06-22 10:20:59



Außerdem befindet sich Antivirus 2009 auf dem rechner und ich will es gar nicht.
__________
_______________________
LG PaterP
Dieser Beitrag wurde am 03.07.2008 um 21:19 Uhr von PaterP editiert.
Seitenanfang Seitenende
03.07.2008, 21:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo PaterP

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28220052-D9A9-44B1-AB98-EDC594D238B6}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{28220052-D9A9-44B1-AB98-EDC594D238B6}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXRLdeb]

File::
C:\WINDOWS\system32\cbXRLdeb.dll
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\mrvtdpqe.exe


Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

««
poste das neue Log von Combofix

ºººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº

2.
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste hier den Report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2008, 17:35
Member

Themenstarter

Beiträge: 24
#5 Hallo ihr..
danke schonmal für eure schnelle hilfe, ohne euch wäre ich aufgeschmissen gewesen - das ist echt ein super forum hier!!! und mit euren anleitungen funktioniert die reinigung echt gut!!
hab combofix und malwarebytes scannen lassen, hier die berichte:

ComboFix 08-07-02.5 - Besitzer 2008-07-04 16:45:17.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1135 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\system32\cbXRLdeb.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-04 bis 2008-07-04 ))))))))))))))))))))))))))))))
.

2008-07-04 16:31 . 2008-07-04 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-07-04 16:31 . 2008-07-04 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-04 16:31 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-04 16:31 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-03 20:19 . 2008-07-03 20:19 268 --ah----- C:\sqmdata02.sqm
2008-07-03 20:19 . 2008-07-03 20:19 244 --ah----- C:\sqmnoopt02.sqm
2008-07-03 20:13 . 2008-07-03 20:13 268 --ah----- C:\sqmdata01.sqm
2008-07-03 20:13 . 2008-07-03 20:13 244 --ah----- C:\sqmnoopt01.sqm
2008-07-03 20:04 . 2008-07-03 20:04 268 --ah----- C:\sqmdata00.sqm
2008-07-03 20:04 . 2008-07-03 20:04 244 --ah----- C:\sqmnoopt00.sqm
2008-07-03 20:02 . 2008-07-03 20:03 <DIR> d-------- C:\RVAXO
2008-07-03 20:01 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-07-03 20:01 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-07-02 19:35 . 2008-07-02 19:35 <DIR> d-------- C:\Programme\Avira
2008-07-02 19:25 . 2008-07-02 19:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-14 11:45 . 2008-06-14 11:46 <DIR> d-------- C:\Programme\buffed
2008-06-11 16:23 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 16:23 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 15:43 . 2008-07-03 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-06-09 15:42 . 2008-06-09 15:42 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-06-07 23:09 . 2008-06-07 23:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-01 15:12 2,229,248 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-06-28 13:19 2,621,440 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-06-28 13:19 2,217,984 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-06-28 12:39 2,217,472 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-06-28 10:37 2,216,960 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-06-22 10:18 6,857,752 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-21 15:11 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-06-15 09:50 2,211,328 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-06-08 15:20 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\gtk-2.0
2008-06-01 08:45 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2008-05-27 18:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Atari
2008-05-27 18:44 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2008-05-27 18:44 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Leadertech
2008-05-27 18:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-24 18:30 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DivX
2008-05-24 16:17 --------- d-----w C:\Programme\DivX
2008-05-13 01:53 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-13 01:53 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 01:53 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-05-13 01:53 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-13 01:53 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-13 01:51 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-13 01:51 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-13 01:49 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 01:49 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-11 20:26 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Cakewalk
2008-05-11 20:23 --------- d-----w C:\Programme\Cakewalk
2008-05-11 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cakewalk
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-26 09:01 2,084,864 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-03_21.03.10.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-03 18:45:56 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-04 14:40:39 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RemoteCenter"="C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 17:35 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 01:00 45056]
"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 18:06 45056]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-26 09:33 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-26 09:34 86016]
"nTrayFw"="F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2005-04-29 18:22 266240]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 12:47 180269]
"QuickTime Task"="F:\Programme\QuickTime\QTTask.exe" [2007-12-11 11:56 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-02-12 10:06 262401]
"CTHelper"="CTHELPER.EXE" [2003-10-06 08:57 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2005-07-26 09:34 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"F:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"F:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"F:\\DerStuff\\Eigene Dateien\\ICQ Lite\\492588233\\479247647 Semjon\\Warcraft III 1.17 Crack\\war3.exe"=
"F:\\Programme\\Anno 1701\\Anno1701.exe"=

R2 antivirwebservice;Avira AntiVir Premium WebGuard;"C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE" [2008-04-09 15:57]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;"C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-02-07 10:06]
R2 PfDetNT;PfDetNT;C:\WINDOWS\system32\drivers\PfModNT.sys [2003-03-05 13:19]
S2 ramdisk;AR Soft RAM Disk Service;C:\WINDOWS\system32\DRIVERS\ramdisk.sys [2008-02-18 17:06]
S3 scrcap;scrcap;C:\WINDOWS\system32\DRIVERS\scrcap.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-07-03 17:54:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-04 16:46:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-04 16:46:32
ComboFix-quarantined-files.txt 2008-07-04 14:46:25
ComboFix2.txt 2008-07-03 19:03:32

11 Verzeichnis(se), 4,563,120,128 Bytes frei
13 Verzeichnis(se), 4,551,176,192 Bytes frei

157 --- E O F --- 2008-06-22 10:20:59




Malwarebytes' Anti-Malware 1.19
Datenbank Version: 920
Windows 5.1.2600 Service Pack 2

17:23:13 04.07.2008
mbam-log-7-4-2008 (17-23-13).txt

Scan Art: Komplett Scan (C:\|F:\|)
Objekte gescannt: 187021
Scan Dauer: 30 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{b2e51014-07fc-4282-a209-d44a0954a3ca} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{214ecb4f-711e-4676-a980-0d7e821b97e5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{41fd01e8-21e6-4ca3-9c3d-e9e4166acfe1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{acf91955-0777-45c4-98fe-790d5b577e4d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{35c5a773-963c-42dc-a78b-fd2a416c8bdf} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nqgpedlr.bbkv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nqgpedlr.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{08e11e95-e8e4-43dd-b762-43f2159c8759} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\eolk.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B652B489-3EF7-41B0-ACF6-B4B464E015C6}\RP328\A0078204.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B652B489-3EF7-41B0-ACF6-B4B464E015C6}\RP331\A0082696.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


ist der pc jetzt clean, oder hab ich noch was zu befürchten?

lg PaterP


(EDIT)

hallo nochmal.. heute hat mir avira wieder TR/Vundo.Gen angezeigt.. das ganze zwei mal.. und diesmal konnte er komischerweise beide male gelöscht werden.. könnt ihr nochmal über diese logfiles schauen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16, on 05.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - F:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d1d614041d184554b74fa100c92eceeb
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d1d614041d184554b74fa100c92eceeb
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8671 bytes





ComboFix 08-07-04.6 - Besitzer 2008-07-05 15:17:09.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1163 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-05 bis 2008-07-05 ))))))))))))))))))))))))))))))
.

2008-07-04 19:07 . 2008-07-04 19:07 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-07-04 18:13 . 2008-07-05 15:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-04 16:31 . 2008-07-04 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-07-04 16:31 . 2008-07-04 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-04 16:31 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-04 16:31 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-03 20:19 . 2008-07-03 20:19 268 --ah----- C:\sqmdata02.sqm
2008-07-03 20:19 . 2008-07-03 20:19 244 --ah----- C:\sqmnoopt02.sqm
2008-07-03 20:13 . 2008-07-03 20:13 268 --ah----- C:\sqmdata01.sqm
2008-07-03 20:13 . 2008-07-03 20:13 244 --ah----- C:\sqmnoopt01.sqm
2008-07-03 20:04 . 2008-07-03 20:04 268 --ah----- C:\sqmdata00.sqm
2008-07-03 20:04 . 2008-07-03 20:04 244 --ah----- C:\sqmnoopt00.sqm
2008-07-02 19:35 . 2008-07-02 19:35 <DIR> d-------- C:\Programme\Avira
2008-07-02 19:25 . 2008-07-02 19:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-14 11:45 . 2008-06-14 11:46 <DIR> d-------- C:\Programme\buffed
2008-06-11 16:23 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 16:23 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 15:43 . 2008-07-03 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-06-09 15:42 . 2008-06-09 15:42 <DIR> d-------- C:\Programme\OpenOffice.org 2.4

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 17:52 --------- d-----w C:\Programme\DivX
2008-07-01 15:12 2,229,248 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-06-28 13:19 2,621,440 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-06-28 13:19 2,217,984 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-06-28 12:39 2,217,472 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-06-28 10:37 2,216,960 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-06-22 10:18 6,857,752 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-21 15:11 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2008-06-15 09:50 2,211,328 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-06-08 15:20 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\gtk-2.0
2008-06-01 08:45 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2008-05-27 18:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Atari
2008-05-27 18:44 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2008-05-27 18:44 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Leadertech
2008-05-27 18:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-24 18:30 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DivX
2008-05-13 01:53 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-13 01:53 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 01:53 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-05-13 01:53 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-13 01:53 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-13 01:51 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-13 01:51 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-13 01:49 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 01:49 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-11 20:26 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Cakewalk
2008-05-11 20:23 --------- d-----w C:\Programme\Cakewalk
2008-05-11 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cakewalk
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-26 09:01 2,084,864 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RemoteCenter"="C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 17:35 139264]
"SpybotSD TeaTimer"="F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTDVDDET"="C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 01:00 45056]
"SBDrvDet"="C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 18:06 45056]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-07-26 09:33 6803456]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-07-26 09:34 86016]
"nTrayFw"="F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2005-04-29 18:22 266240]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-25 12:47 180269]
"QuickTime Task"="F:\Programme\QuickTime\QTTask.exe" [2007-12-11 11:56 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-02-12 10:06 262401]
"CTHelper"="CTHELPER.EXE" [2003-10-06 08:57 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"nwiz"="nwiz.exe" [2005-07-26 09:34 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"F:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"F:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"F:\\DerStuff\\Eigene Dateien\\ICQ Lite\\492588233\\479247647 Semjon\\Warcraft III 1.17 Crack\\war3.exe"=
"F:\\Programme\\Anno 1701\\Anno1701.exe"=

R2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-04-09 15:57]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-02-07 10:06]
R2 PfDetNT;PfDetNT;C:\WINDOWS\system32\drivers\PfModNT.sys [2003-03-05 13:19]
S2 ramdisk;AR Soft RAM Disk Service;C:\WINDOWS\system32\DRIVERS\ramdisk.sys [2008-02-18 17:06]
S3 scrcap;scrcap;C:\WINDOWS\system32\DRIVERS\scrcap.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-07-03 17:54:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-05 15:18:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-05 15:19:10
ComboFix-quarantined-files.txt 2008-07-05 13:19:01
ComboFix2.txt 2008-07-04 14:46:34

10 Verzeichnis(se), 5,405,360,128 Bytes frei
12 Verzeichnis(se), 5,393,510,400 Bytes frei

142 --- E O F --- 2008-07-05 08:06:05
__________
_______________________
LG PaterP
Dieser Beitrag wurde am 05.07.2008 um 16:05 Uhr von PaterP editiert.
Seitenanfang Seitenende
06.07.2008, 19:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

hallo nochmal.. heute hat mir avira wieder TR/Vundo.Gen angezeigt.. das ganze zwei mal.. und diesmal konnte er komischerweise beide male gelöscht werden.. könnt ihr nochmal über diese logfiles schauen?
poste hier bitte das Log vom Antivirus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2008, 17:14
Member

Themenstarter

Beiträge: 24
#7 antivir nennt mir diese datei C2152591d01 - Enthält Erkennungsmuster des SPR/Tool.PV-Programmes. könnt ihr mir sagen worum es sich hier handelt? TR/Vundo.Gen wurde komischerweiße nicht angezeigt, wobei ich mir aber 100%ig sicher bin, dass er mir nach der reinigung noch zwei mal direkt hintereinander angezeigt wurde. ich konnte ihn bei zweiten mal löschen.
hier der log von antivir
lg PaterP



Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Das Herz>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\571c7nii.default\Cache\C2152591d01
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48a46ff7.qua' verschoben!
Beginne mit der Suche in 'F:\' <Ja!>
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
F:\DerStuff\Downloads\DerStuff\Downloads\RVAXO.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> RVAXO3
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.
F:\Downloads\Install Dateien\Antivirusstuff\ComboFix.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[WARNUNG] Die Datei wurde ignoriert.
F:\Downloads\Install Dateien\Antivirusstuff\RVAXO.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> RVAXO3
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.

««
__________
_______________________
LG PaterP
Seitenanfang Seitenende
08.07.2008, 17:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es werden rvaxo und combofix angezeigt, kein Vundo mehr vorhanden, ich denke, die Einträge waren in der Systemwiederherstellung verborgen.
Es ist also alles wieder o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.07.2008, 17:21
Moderator

Beiträge: 5694
#9 Hallo PaterP

>>
Mit CCleaner den Cache von Firefox löschen.

>>
Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Gruss Swiss
Seitenanfang Seitenende
08.07.2008, 17:44
Member

Themenstarter

Beiträge: 24
#10 alles klar.
vielen dank euch beiden. ihr habt mir sehr geholfen!

lg PaterP
__________
_______________________
LG PaterP
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: