problem mit hartnäckigem Trojaner: TR/Vundo.gen

#1 Hallo leute ich hab ein problem das mich schon seit tagen nervt!!!

Ich habe mir alle möglichen sachen zu diesem trojaner durchgelesen und bin wahrscheinlich zu dumm sie zu kapieren, denn bei mir bleibt er hartnäckig auf dem pc drauf!!!


Ich brauche dringend hilfe!!!!

Lg Joey

#2 Versuch es erstmal hiermit. http://www.atribune.org/content/view/24/2/

Das sollte im Grunde reichen....
__________
MfG Ralf
SEO-Spam Hunter

#3 Ja das hab ich ja schon gemacht, dann hab ich meinen computer neugestartet!!!!

Als ich dann mein bunutzerkonto aufgerufen hab hat er mir nur noch den hintergrund angezeigt mehr nicht!!! ich war dann etwas ungeduldig und hab ihn einfach noch mal ausgeschalten und wieder ein!!!!!


Naja ich probs. nochmal!!!


Habs jetzt nochmal gemacht hat nichts gebracht!!!! schade

#4 Dann versog uns mit diesen Informationen:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 Logfile of HijackThis v1.99.1
Scan saved at 15:16:53, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
F:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
F:\Programme\iTunes and quicktime\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\D-Tools\daemon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark 4300 Series\lxcemon.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\WINDOWS\system32\lxcecoms.exe
F:\Programme\Mozilla\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lukas\LOKALE~1\Temp\Rar$EX01.813\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\Lukas\Desktop\Lukas\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\Lukas\Desktop\Lukas\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "F:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes and quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [Surf Vc] C:\DOKUME~1\Lukas\ANWEND~1\ONLINE~1\PING REGS.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Dokumente und Einstellungen\Lukas\Desktop\Lukas\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.at/
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126696516234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126697123390
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B292346-23B9-4EE0-960B-4A91B9D1CF40}: NameServer = 195.3.96.67 195.3.96.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



***** - 06-09-03 15:30:12,79
ComboFix 06.08.30BT - Running from: C:\Dokumente und Einstellungen\Lukas\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-08-03 to 2006-09-03 ))))))))))))))))))))))))))))))))))


2006-09-02 16:15 596,973 ---hs---- C:\WINDOWS\system32\jjjlm.ini2
2006-08-22 17:07 40,960 --a------ C:\WINDOWS\system32\psfind.dll
2006-08-16 18:55 98,345 --a------ C:\WINDOWS\system32\IMHOST32.DLL
2006-08-16 18:55 339,968 --a------ C:\WINDOWS\system32\IMGMAN32.DLL
2006-08-16 18:55 32,768 --a------ C:\WINDOWS\system32\LXPRMON.DLL
2006-08-16 18:55 20,480 --a------ C:\WINDOWS\system32\LXPMONUI.DLL
2006-08-16 18:55 12,288 --a------ C:\WINDOWS\system32\LXPMONRC.DLL
2006-08-16 18:54 983,091 --a------ C:\WINDOWS\system32\lxcegf.dll
2006-08-16 18:54 86,016 --a------ C:\WINDOWS\system32\lxcecub.dll
2006-08-16 18:54 753,664 --a------ C:\WINDOWS\system32\lxcehbn3.dll
2006-08-16 18:54 73,728 --a------ C:\WINDOWS\system32\lxcecu.dll
2006-08-16 18:54 667,648 --a------ C:\WINDOWS\system32\lxcecomc.dll
2006-08-16 18:54 630,784 --a------ C:\WINDOWS\system32\lxcepmui.dll
2006-08-16 18:54 475,136 --a------ C:\WINDOWS\system32\lxcelmpm.dll
2006-08-16 18:54 471,040 --a------ C:\WINDOWS\system32\lxcecoms.exe
2006-08-16 18:54 405,504 --a------ C:\WINDOWS\system32\lxcecomm.dll
2006-08-16 18:54 40,960 --a------ C:\WINDOWS\system32\lxcevs.dll
2006-08-16 18:54 389,120 --a------ C:\WINDOWS\system32\lxceutil.dll
2006-08-16 18:54 364,544 --a------ C:\WINDOWS\system32\lxcecfg.exe
2006-08-16 18:54 36,864 --a------ C:\WINDOWS\system32\lxcecur.dll
2006-08-16 18:54 356,352 --a------ C:\WINDOWS\system32\lxceih.exe
2006-08-16 18:54 172,032 --a------ C:\WINDOWS\system32\lxceinsb.dll
2006-08-16 18:54 143,360 --a------ C:\WINDOWS\system32\lxceprox.dll
2006-08-16 18:54 139,264 --a------ C:\WINDOWS\system32\lxcejswr.dll
2006-08-16 18:54 131,072 --a------ C:\WINDOWS\system32\lxceins.dll
2006-08-16 18:54 114,688 --a------ C:\WINDOWS\system32\lxcepplc.dll
2006-08-16 18:54 102,400 --a------ C:\WINDOWS\system32\lxceinsr.dll
2006-08-16 18:54 1,155,072 --a------ C:\WINDOWS\system32\lxceserv.dll
2006-08-16 18:54 1,134,592 --a------ C:\WINDOWS\system32\lxceusb1.dll
2006-08-16 18:50 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2006-08-16 18:50 65,536 -ra------ C:\WINDOWS\system32\lxcecfg.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-03 15:28 -------- d-------- C:\Programme\Lx_cats
2006-09-03 14:36 1085803 ---hs---- C:\WINDOWS\system32\jjjlm.bak2
2006-09-02 16:44 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-02 16:24 -------- d-------- C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten\Online meal
2006-09-02 16:16 -------- d-------- C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten\clock new tons
2006-08-24 10:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-22 14:29 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-08-20 22:20 -------- d-------- C:\Programme\Abbyy FineReader 6.0 Sprint
2006-08-16 22:49 -------- d-------- C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten\FaxCtr
2006-08-16 22:47 -------- d-------- C:\Programme\Lexmark 4300 Series
2006-08-16 18:56 -------- d-------- C:\Programme\Lexmark Fax Solutions
2006-08-15 22:21 -------- d-------- C:\Programme\GIMP-2.0
2006-08-14 00:37 -------- d-------- C:\Programme\Internet Explorer
2006-08-04 22:47 -------- d-------- C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten\Real
2006-08-04 18:19 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-08-04 18:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-08-04 18:19 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-23 23:05 -------- d-------- C:\Programme\MSN Messenger
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-08 12:24 -------- d-------- C:\Programme\Online meal
2006-07-05 11:30 -------- d-------- C:\Programme\QuickTime
2006-07-03 15:29 -------- d-------- C:\Programme\AGEIA Technologies
2006-07-01 15:13 595049 ---hs---- C:\WINDOWS\system32\jjjlm.bak1
2006-07-01 15:13 569396 --------- C:\WINDOWS\system32\mljjj.dll
2006-06-21 14:52 532480 --a------ C:\WINDOWS\system32\jogatv_team.scr
2006-06-21 14:52 532480 --a------ C:\WINDOWS\system32\jogatv_joy.scr
2006-06-21 14:51 532480 --------- C:\WINDOWS\system32\jogatv_honor.scr
2006-06-21 12:47 532480 --a------ C:\WINDOWS\system32\jogatv_skill.scr
2006-06-16 14:34 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-06-09 12:34 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SpeedTouch USB Diagnostics"="\"F:\\Programme\\Thomson\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"iTunesHelper"="\"F:\\Programme\\iTunes and quicktime\\iTunesHelper.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"F:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"AGEIA PhysX SysTray"="C:\\Programme\\AGEIA Technologies\\TrayIcon.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"LXCECATS"="rundll32 C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\LXCEtime.dll,_RunDLLEntry@16"
"lxcemon.exe"="\"C:\\Programme\\Lexmark 4300 Series\\lxcemon.exe\""
"EzPrint"="\"C:\\Programme\\Lexmark 4300 Series\\ezprint.exe\""
"FaxCenterServer"="\"C:\\Programme\\Lexmark Fax Solutions\\fm3032.exe\" /s"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Surf Vc"="C:\\DOKUME~1\\Lukas\\ANWEND~1\\ONLINE~1\\PING REGS.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:0000005f

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CHotkey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zHotkey"
"hkey"="HKLM"
"command"="zHotkey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"F:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\I downloaded pirated Software I post my Hijack Log]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="_"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\_.gof"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ShowWnd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ShowWnd"
"hkey"="HKLM"
"command"="ShowWnd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"F:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Windows Shell]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="shell32"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\shell32.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A5F0F73891BF6D94.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job

Completion time: 03.09.2006 15:31:01.00
ComboFix.txt



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9021-733B

Verzeichnis von C:\WINDOWS\system32

03.09.2006 16:21 597.252 jjjlm.ini2
03.09.2006 15:31 376.884 perfh009.dat
03.09.2006 15:31 63.044 perfc007.dat
03.09.2006 15:31 52.012 perfc009.dat
03.09.2006 15:31 387.570 perfh007.dat
03.09.2006 15:31 888.726 PerfStringBackup.INI
03.09.2006 15:28 29.204 nvapps.xml
03.09.2006 15:27 2.206 wpa.dbl
03.09.2006 14:36 1.085.803 jjjlm.bak2
02.09.2006 12:53 143 mcrh.tmp
22.08.2006 14:29 98.304 CmdLineExt.dll
16.08.2006 18:57 21.651 LexFiles.ulf
04.08.2006 18:19 176.167 rmoc3260.dll
04.08.2006 18:18 5.632 pndx5032.dll
04.08.2006 18:18 6.656 pndx5016.dll
04.08.2006 18:18 278.528 pncrt.dll
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:30 3.079.168 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:42 617.472 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
03.07.2006 15:19 596.913 jjjlm.tmp
03.07.2006 02:40 596.913 jjjlm.ini
01.07.2006 15:13 595.049 jjjlm.bak1
01.07.2006 15:13 569.396 mljjj.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:25 670.208 wininet.dll
23.06.2006 13:25 474.624 shlwapi.dll
23.06.2006 13:25 1.497.088 shdocvw.dll
23.06.2006 13:25 96.768 inseng.dll
23.06.2006 13:25 39.424 pngfilt.dll
23.06.2006 13:25 357.888 dxtmsft.dll
23.06.2006 13:25 205.312 dxtrans.dll
23.06.2006 13:25 532.480 mstime.dll
23.06.2006 13:25 146.432 msrating.dll
23.06.2006 13:25 15.872 jsproxy.dll
23.06.2006 13:25 448.512 mshtmled.dll
23.06.2006 13:25 55.808 extmgr.dll
23.06.2006 13:25 251.904 iepeers.dll
23.06.2006 13:25 152.064 cdfview.dll
23.06.2006 13:25 1.022.976 browseui.dll
23.06.2006 13:25 1.056.256 danim.dll
23.06.2006 11:09 104.960 xpsp3res.dll
21.06.2006 14:52 532.480 jogatv_team.scr
21.06.2006 14:52 532.480 jogatv_joy.scr
21.06.2006 14:51 532.480 jogatv_honor.scr
21.06.2006 12:47 532.480 jogatv_skill.scr
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
17.06.2006 20:27 16.832 amcompat.tlb
17.06.2006 20:27 23.392 nscompat.tlb
16.06.2006 14:34 48.936 sirenacm.dll
09.06.2006 12:34 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9021-733B

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 9021-733B

Verzeichnis von C:\WINDOWS

03.09.2006 15:27 0 0.log
03.09.2006 15:27 159 wiadebug.log
03.09.2006 15:27 313 wiaservc.log
03.09.2006 15:27 2.044.320 WindowsUpdate.log
03.09.2006 15:27 2.048 bootstat.dat
03.09.2006 15:26 32.632 SchedLgU.Txt
03.09.2006 02:19 2.441 setupact.log
29.08.2006 13:16 54.156 QTFont.qfn
29.08.2006 01:37 1.409 QTFont.for
29.08.2006 01:24 202 NeroDigital.ini
24.08.2006 22:47 632.504 setupapi.log
24.08.2006 10:33 315 doom3.ini
22.08.2006 17:08 238.396 DirectX.log
20.08.2006 13:19 23 BlendSettings.ini
15.08.2006 13:44 15.644 ocmsn.log
15.08.2006 13:44 92.911 comsetup.log
15.08.2006 13:44 110.364 tsoc.log
15.08.2006 13:44 1.374 imsins.log
15.08.2006 13:44 44.936 iis6.log
15.08.2006 13:44 56.747 ntdtcsetup.log
15.08.2006 13:44 27.438 KB920214.log
15.08.2006 13:44 14.245 msgsocm.log
15.08.2006 13:44 136.846 ocgen.log
15.08.2006 13:44 280.220 FaxSetup.log
14.08.2006 08:05 1.374 imsins.BAK
14.08.2006 08:05 18.556 KB920683.log
14.08.2006 08:05 21.512 updspapi.log
14.08.2006 00:37 14.717 KB922616.log
14.08.2006 00:37 15.114 KB921398.log
14.08.2006 00:37 44.748 KB918899.log
12.08.2006 00:22 15.083 KB920670.log
11.08.2006 21:00 13.727 KB917422.log
11.08.2006 17:52 24.239 KB921883.log
08.08.2006 13:05 48.335 wmsetup.log
03.08.2006 12:06 6.139 mozver.dat
03.08.2006 12:02 462 EAGRAPH.INI
25.07.2006 23:36 8.815 WgaNotify.log
15.07.2006 11:34 12.231 KB917159.log
15.07.2006 11:34 12.740 KB914388.log
15.07.2006 11:34 10.815 KB916595.log
03.07.2006 15:29 1.544 DIFx.log
17.06.2006 20:28 17.651 spupdsvc.log
17.06.2006 13:54 527 wmsetup10.log
17.06.2006 13:54 17.510 wmp11.log
17.06.2006 13:53 13.539 Wudf01000Inst.log
17.06.2006 13:53 23.804 WMFDist11.log
14.06.2006 22:01 15.445 KB917734.log
14.06.2006 22:00 17.601 KB918439.log
14.06.2006 22:00 18.284 KB917344.log
14.06.2006 22:00 17.245 KB917953.log
14.06.2006 22:00 17.228 KB911280.log
14.06.2006 22:00 32.055 KB916281.log
14.06.2006 22:00 11.854 KB914389.log




Mfg Lukas

#6 Wo meldet Antivir ein TR/Vundo.gen bei dir? Das einzige, wqas ich auf anhieb sehe, ist ein Lop/Swizzor Trojaner.

Stelle dein Antivir ein, woe hier beschrieben: http://board.protecus.de/t23979.htm und melde, was es noch alles findet.

"Fixe" das:

O4 - HKCU\..\Run: [Surf Vc] C:\DOKUME~1\Lukas\ANWEND~1\ONLINE~1\PING REGS.exe

Loesche das:

C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten\Online meal
C:\Dokumente und Einstellungen\Lukas\Anwendungsdaten\clock new tons
C:\WINDOWS\tasks\A5F0F73891BF6D94.job


Ein Kontrollscan mit Drwebcureit waere auch nicht schlecht. http://download.drweb.com/drweb+cureit/?lng=de
__________
MfG Ralf
SEO-Spam Hunter

#7 Der trojaner von dem ich rede befindet sich in C:\Windows\system32\mljj.dll


Das andere was du mir geraten hast werde ich sofort machen!!!!


Habs jetzt gemacht:

Ich konnte nur eine datei löschen und die war die erste die du mir gesagt hast das online meal!!!!

als ich dann die anderen gesucht hab hab ich keinen gefunden das passt eh so oder????


Kann mir jetzt keiner mehr helfen???

#8 Stell bitte das ein und schaue, ob du dir Dateien finden kannst: http://people.freenet.de/rene-gad/invisible.html

Hat Antivr und Cureit noch was gefunden?

Wegen dem vundo, versuche bitte Avenger:

http://www.virus-protect.org/artikel/tools/avenger.html

Hier das script fuer dein Problem:

Files to delete:
C:\Windows\system32\mljj.dll


Poste bitte danach das Avenger log
__________
MfG Ralf
SEO-Spam Hunter

#9 Vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winghy32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Windows Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ShowWnd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\I downloaded pirated Software I post my Hijack Log

Files to delete:
C:\WINDOWS\tasks\A5F0F73891BF6D94.job
C:\WINDOWS\system32\_.gof
C:\WINDOWS\system32\shell32.exe
C:\WINDOWS\system32\jjjlm.ini2
C:\WINDOWS\system32\jjjlm.bak2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\jjjlm.tmp
C:\WINDOWS\system32\jjjlm.ini
C:\WINDOWS\system32\jjjlm.bak1
C:\WINDOWS\system32\mljjj.dll

**
poste das log vom avenger

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

**
poste das log
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip

----------------------

shell32.exe

AntiVir 6.31.0.7 07.05.2005 no virus found
AVG 718 07.04.2005 no virus found
Avira 6.31.0.7 07.05.2005 ADSPY/WinAD.AG
BitDefender 7.0 07.05.2005 Application.Adware.Winad
ClamAV devel-20050501 07.05.2005 Adware.Winad-12
DrWeb 4.32b 07.05.2005 no virus found
eTrust-Iris 7.1.194.0 07.04.2005 no virus found
eTrust-Vet 11.9.1.0 07.05.2005 no virus found
Fortinet 2.36.0.0 07.05.2005 Adware/WinAd
Ikarus 2.32 07.05.2005 no virus found
Kaspersky 4.0.2.24 07.05.2005 no virus found
McAfee 4527 07.04.2005 potentially unwanted program Adware-WinAd
NOD32v2 1.1161 07.04.2005 a variant of Win32/Adware.WUpd
Norman 5.70.10 07.05.2005 no virus found
Panda 8.02.00 07.04.2005 Adware/WinAD
Sybari 7.5.1314 07.05.2005 no virus found
Symantec 8.0 07.04.2005 no virus found
TheHacker 5.8.2.065 07.04.2005 no virus found
VBA32 3.10.4 07.05.2005 suspected of Embedded.AdWare.WinAD.ai
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Zur Info:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG

Dort speichert MSCONFIG die Eintraege, die mit seiner Hilfe deaktiviert wurden.
__________
MfG Ralf
SEO-Spam Hunter

#11 Danke hat funktioniert und danke für eure zeit endlich kein trojaner mehr!!!!!!!!!!!


Mfg Lukas

#12

Zitat

raman postete
Zur Info:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG

Dort speichert MSCONFIG die Eintraege, die mit seiner Hilfe deaktiviert wurden.

danke, fuer den Tip - also in Zukunft belassen ?
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Der Eintrag ist an sich sinnlos, also loeschen schadet nicht. Der Vorteil, das Combofix diese Eintraege auflistet, liegt darin, das man erahnen kann, was schon alles versucht wurde um die infektion in den Griff zu bekommen...
__________
MfG Ralf
SEO-Spam Hunter

#14 Noch mal hier der text von avenger damit ihr nachschaune könnt ob alles passt!!!!:


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\byqxeqeo

*******************

Script file located at: \??\C:\WINDOWS\system32\lldyupee.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\tasks\A5F0F73891BF6D94.job not found!
Deletion of file C:\WINDOWS\tasks\A5F0F73891BF6D94.job failed!

Could not process line:
C:\WINDOWS\tasks\A5F0F73891BF6D94.job
Status: 0xc0000034



File C:\WINDOWS\system32\_.gof not found!
Deletion of file C:\WINDOWS\system32\_.gof failed!

Could not process line:
C:\WINDOWS\system32\_.gof
Status: 0xc0000034



File C:\WINDOWS\system32\shell32.exe not found!
Deletion of file C:\WINDOWS\system32\shell32.exe failed!

Could not process line:
C:\WINDOWS\system32\shell32.exe
Status: 0xc0000034



File C:\WINDOWS\system32\jjjlm.ini2 not found!
Deletion of file C:\WINDOWS\system32\jjjlm.ini2 failed!

Could not process line:
C:\WINDOWS\system32\jjjlm.ini2
Status: 0xc0000034



File C:\WINDOWS\system32\jjjlm.bak2 not found!
Deletion of file C:\WINDOWS\system32\jjjlm.bak2 failed!

Could not process line:
C:\WINDOWS\system32\jjjlm.bak2
Status: 0xc0000034



File C:\WINDOWS\system32\mcrh.tmp not found!
Deletion of file C:\WINDOWS\system32\mcrh.tmp failed!

Could not process line:
C:\WINDOWS\system32\mcrh.tmp
Status: 0xc0000034



File C:\WINDOWS\system32\jjjlm.tmp not found!
Deletion of file C:\WINDOWS\system32\jjjlm.tmp failed!

Could not process line:
C:\WINDOWS\system32\jjjlm.tmp
Status: 0xc0000034



File C:\WINDOWS\system32\jjjlm.ini not found!
Deletion of file C:\WINDOWS\system32\jjjlm.ini failed!

Could not process line:
C:\WINDOWS\system32\jjjlm.ini
Status: 0xc0000034



File C:\WINDOWS\system32\jjjlm.bak1 not found!
Deletion of file C:\WINDOWS\system32\jjjlm.bak1 failed!

Could not process line:
C:\WINDOWS\system32\jjjlm.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\mljjj.dll not found!
Deletion of file C:\WINDOWS\system32\mljjj.dll failed!

Could not process line:
C:\WINDOWS\system32\mljjj.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////

#15 poste das log
look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit