Probleme mit TR/Vundo.Gen ! Logfile beigefügt

#1 Hallo,

ich habe, wie auch andere, ein Problem mit dem TR/Vundo.Gen, der von AntiVir gefunden wurde. Leider schafft es AntiVir nicht das Problem zu beheben. Ich habe den Fall von http://board.protecus.de/t25190.htm?highlight=TR%2FVundo gelesen und die Anweisungen befolgt. Die Logfiles hängen an.

Bei mir heißt der Virus ljjighg.dll und versteckt sich in sytsem32.

Hier die Logfiles:

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:50:58, on 10.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Clem\Desktop\Kampf gegen den Virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.8.1:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: (no name) - {D3B3C51E-8D11-4667-85B9-0930F519BED7} - C:\WINDOWS\system32\ljjighg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AOL Instant Messanger\aim.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/b0c917936dab2e0907426e99643ee71d_35.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {406C9427-632E-4451-BE64-53ACA5D4E377} (openbcWebControl.BaseControl) - https://www.openbc.com/sync/openbcWebControl.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20d5671c3dfc3fdd5e05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124098450522
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ljjighg - C:\WINDOWS\SYSTEM32\ljjighg.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q238046_disk.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Combofix:

Clem - 06-09-10 22:07:56,85
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Clem\Desktop\Kampf gegen den Virus

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 ))))))))))))))))))))))))))))))))))


2006-09-10 16:32 40,973 --------- C:\WINDOWS\system32\ljjighg.dll
2006-09-10 16:32 4,608 --a------ C:\WINDOWS\system32\ismini.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-10 22:00 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-10 21:52 -------- d-------- C:\Programme\CleanUp!
2006-09-10 20:17 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-10 19:52 -------- d-------- C:\Programme\Google
2006-09-10 19:13 -------- d-------- C:\Programme\Der Pate
2006-09-10 15:37 -------- d-------- C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\Skype
2006-09-09 15:45 -------- d-------- C:\Programme\TVants
2006-09-09 15:40 -------- d-------- C:\Programme\PPlive
2006-09-09 15:30 -------- d-------- C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\ppstream
2006-09-08 11:13 -------- d-------- C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\PPLive
2006-09-06 01:03 -------- d-------- C:\Programme\Soulseek
2006-09-06 00:30 -------- d---s---- C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\Microsoft
2006-09-06 00:29 -------- d-------- C:\Programme\MSN Messenger
2006-09-06 00:29 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-05 03:14 -------- d-------- C:\Programme\SurfMusik
2006-09-04 22:46 -------- d-------- C:\Programme\Ad-Aware SE Personal
2006-09-04 21:06 -------- d-------- C:\Programme\FireFox
2006-09-04 19:54 -------- d-------- C:\Programme\ICQLite
2006-09-04 19:50 15781 --a------ C:\WINDOWS\system32\drivers\mdc8021x.sys
2006-09-04 19:50 -------- d-------- C:\Programme\Siemens
2006-09-01 21:19 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-01 19:35 -------- d-------- C:\Programme\Internet Explorer
2006-09-01 19:31 -------- d-------- C:\Programme\Outlook Express
2006-08-04 18:52 -------- d-------- C:\Programme\QuickTime
2006-08-04 18:49 -------- d-------- C:\Programme\Itunes
2006-08-04 18:48 -------- d-------- C:\Programme\iPod
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-06-10 01:42 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"PSGuard"="C:\\Programme\\PSGuard\\PSGuard.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"PRISMSVR.EXE"="\"C:\\Programme\\Siemens\\Gigaset USB Adapter 54\\PRISMSVR.EXE\" /APPLY"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{D3B3C51E-8D11-4667-85B9-0930F519BED7}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjighg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\style2
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwil32


Completion time: 10.09.2006 22:09:51.42
ComboFix.txt
ComboFix2.txt

Datfind:

Volumeseriennummer: C001-7BC9

Verzeichnis von C:\WINDOWS\system32

10.09.2006 22:02 2.206 wpa.dbl
10.09.2006 21:57 4.608 ismini.exe
10.09.2006 20:20 14.336 Thumbs.db
10.09.2006 16:34 4.286 ot.ico
10.09.2006 16:34 4.286 ts.ico
10.09.2006 16:32 40.973 ljjighg.dll
10.09.2006 16:17 40.326 perfc009.dat
10.09.2006 16:17 262.790 perfh009.dat
10.09.2006 16:17 317.168 perfh007.dat
10.09.2006 16:17 48.552 perfc007.dat
10.09.2006 16:17 674.096 PerfStringBackup.INI
09.08.2006 19:03 8.325.544 MRT.exe
29.07.2006 19:32 48.936 sirenacm.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll



Volumeseriennummer: C001-7BC9

Verzeichnis von C:\WINDOWS

10.09.2006 22:02 0 0.log
10.09.2006 22:01 159 wiadebug.log
10.09.2006 22:01 1.128.355 WindowsUpdate.log
10.09.2006 22:01 50 wiaservc.log
10.09.2006 22:01 2.048 bootstat.dat
10.09.2006 21:17 32.548 SchedLgU.Txt
10.09.2006 20:21 4.034 system32SPhoneObserver.txt
10.09.2006 20:21 1.141 system32DESProxy_I.txt
10.09.2006 20:21 9.444 system32DESProxyM.txt
10.09.2006 20:20 942 system32CCfgMgr4PlugIns.txt
10.09.2006 20:20 6.936 system32CEnvironmentServer.txt
10.09.2006 20:20 901 system32CSDSConfigSettings.txt
10.09.2006 20:20 703 system32CStdDOMWrapper.txt
10.09.2006 20:13 267.885 setupapi.log
10.09.2006 19:47 13.824 Thumbs.db
10.09.2006 19:47 76.044 DirectX.log
09.09.2006 03:05 49 NeroDigital.ini
07.09.2006 14:21 185.399 setupact.log
05.09.2006 03:55 60.990 wmsetup.log
01.09.2006 21:19 31.671 spupdsvc.log
01.09.2006 19:36 174.652 comsetup.log
01.09.2006 19:36 240.390 tsoc.log
01.09.2006 19:36 105.272 ntdtcsetup.log
01.09.2006 19:36 24.217 ocmsn.log
01.09.2006 19:36 95.703 iis6.log
01.09.2006 19:36 1.355 imsins.log
01.09.2006 19:36 24.835 KB920214.log
01.09.2006 19:36 314.145 ocgen.log
01.09.2006 19:36 31.158 msgsocm.log
01.09.2006 19:36 610.568 FaxSetup.log
01.09.2006 19:36 1.355 imsins.BAK
01.09.2006 19:36 25.139 KB922616.log
01.09.2006 19:36 38.966 updspapi.log
01.09.2006 19:36 25.427 KB921398.log
01.09.2006 19:36 25.318 KB920683.log
01.09.2006 19:36 23.786 KB920670.log
01.09.2006 19:35 23.945 KB917422.log
01.09.2006 19:35 27.295 KB918899.log
01.09.2006 19:35 18.067 KB921883.log
01.09.2006 19:35 17.557 KB917159.log
01.09.2006 19:35 17.787 KB914388.log
01.09.2006 19:34 15.991 KB916595.log
01.09.2006 19:34 12.783 WgaNotify.log
01.09.2006 19:33 15.627 KB911280.log
01.09.2006 19:33 15.132 KB917953.log
01.09.2006 19:33 15.697 KB913580.log
01.09.2006 19:33 14.461 KB918439.log
01.09.2006 19:33 15.144 KB917344.log
01.09.2006 19:33 14.648 KB914389.log
01.09.2006 19:33 10.024 KB917734.log
01.09.2006 19:32 14.272 KB908531.log
01.09.2006 19:31 14.232 KB900485.log
01.09.2006 19:31 13.485 KB911562.log
01.09.2006 19:31 13.541 KB911567.log
01.09.2006 19:21 15.738 WGA.log
04.08.2006 18:49 121 GEARInstall.log
15.07.2006 05:02 155 winamp.ini

Datentr„ger in Laufwerk C: ist Mustafa
Volumeseriennummer: C001-7BC9

Verzeichnis von C:\DOKUME~1\Clem\LOKALE~1\Temp

10.09.2006 22:14 206 jusched.log
10.09.2006 22:04 512 ~DFA709.tmp
10.09.2006 22:04 32.768 ~DFA6FE.tmp
3 Datei(en) 33.486 Bytes
0 Verzeichnis(se), 4.185.116.672 Bytes frei


Volumeseriennummer: C001-7BC9

Verzeichnis von C:\

10.09.2006 22:17 0 sys.txt
10.09.2006 22:16 9.326 system.txt
10.09.2006 22:15 383 systemtemp.txt
10.09.2006 22:14 99.729 system32.txt
10.09.2006 22:09 6.341 ComboFix.txt
10.09.2006 22:03 6.680 ComboFix2.txt
10.09.2006 22:01 402.653.184 pagefile.sys
10.09.2006 21:49 706 VundoFix.txt
30.08.2005 22:42 24.784 SDSSetup.log
15.08.2005 15:59 211 boot.ini
15.08.2005 15:45 47.564 NTDETECT.COM
15.08.2005 15:45 251.184 ntldr

Zum Abschluss noch mein AntiVir Report:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 10. September 2006 22:24

Es wird nach 500490 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Clem
Computername: CLEMENS

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 01.02.2006 01:17:17
AVSCAN.DLL : 7.0.0.42 57384 01.02.2006 01:17:17
LUKE.DLL : 7.0.0.42 118824 01.02.2006 01:17:17
LUKERES.DLL : 7.0.0.42 32808 01.02.2006 01:17:17
ANTIVIR0.VDF : 6.35.0.1 7371264 01.02.2006 01:17:17
ANTIVIR1.VDF : 6.35.1.122 1270784 01.02.2006 01:17:17
ANTIVIR2.VDF : 6.35.1.200 237056 01.02.2006 01:17:17
ANTIVIR3.VDF : 6.35.1.208 17920 01.02.2006 01:17:17
AVEWIN32.DLL : 7.1.1.16 1835520 01.02.2006 01:17:17
AVPREF.DLL : 7.0.0.1 53288 01.02.2006 01:17:17
AVREP.DLL : 6.35.1.191 794664 01.02.2006 01:17:17
AVRPBASE.DLL : 7.0.0.0 2162728 22.05.2006 02:27:26
AVPACK32.DLL : 7.1.0.1 335912 01.02.2006 01:17:17
AVREG.DLL : 6.31.0.90 27688 01.02.2006 01:17:17
NETNT.DLL : 6.32.0.0 6696 01.02.2006 01:17:17
NETNW.DLL : 6.32.0.0 9768 01.02.2006 01:17:17
RCIMAGE.DLL : 7.0.0.71 1642536 01.02.2006 01:17:18
RCTEXT.DLL : 7.0.0.75 77864 01.02.2006 01:17:18

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 4
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 10. September 2006 22:24


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 34 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 21 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Clem\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Clem\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Clem\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Clem\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Clem\Lokale Einstellungen\Temp\~DFA6FE.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Clem\Lokale Einstellungen\Temp\~DFA709.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\ljjighg.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 10. September 2006 23:10
Benötigte Zeit: 46:33 min

Der Suchlauf wurde vollständig durchgeführt.

3871 Verzeichnisse wurden überprüft
165580 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1427 Archive wurden durchsucht
26 Warnungen
1 Hinweise

Ich habe auch vorher VundoFix laufen lassen.

Ich hoffe mir kann jemand helfen.

Vielen, Vielen Dank im Voraus.

Clemens

#2 Clemes

++
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

++
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjighg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\style2
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwil32

Files to delete:
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ljjighg.dll

Folders to delete:
C:\Programme\PSGuard
C:\Programme\Safety Bar
C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\PSGuard.com

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles hier)

psguardrem.reg (klicken) und der Registry beifuegen

------------------------------------------------------
++
smitRem TOOL (Entfernungstool)
* Laden: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread

++
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste hier die scanrporte von option 1 und 2

----------------------------------------------------

++
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: (no name) - {D3B3C51E-8D11-4667-85B9-0930F519BED7} - C:\WINDOWS\system32\ljjighg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll

O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe

O20 - Winlogon Notify: ljjighg - C:\WINDOWS\SYSTEM32\ljjighg.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q238046_disk.dll (file missing)

O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

PC neustarten

«
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,

danke...

Habe erst nach dem avenger search die registry hinzugefügt.

Was soll "kopiere alles hier" bedeuten? Wahrscheinlich dass ich die shudder.txt datei anhängen soll:

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard

Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Der Vorgang wurde erfolgreich ausgeführt.

Deleting ShudderLTD/PSGuard.com ...........

Der Vorgang wurde erfolgreich ausgeführt.

Checking if ShudderLTD/PSGuard.com is still present ..........


Deleting leftovers in registry ..........

Leftovers deleted!

Rest habe ich ausgeführt.

Die avenger.txt datei:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fxaewwgh

*******************

Script file located at: \??\C:\Program Files\oufvgkjo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ixt0.dll not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll failed!

Could not process line:
C:\WINDOWS\system32\ixt0.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ismini.exe deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\ljjighg.dll deleted successfully.


Folder C:\Programme\PSGuard not found!
Deletion of folder C:\Programme\PSGuard failed!

Could not process line:
C:\Programme\PSGuard
Status: 0xc0000034



Folder C:\Programme\Safety Bar not found!
Deletion of folder C:\Programme\Safety Bar failed!

Could not process line:
C:\Programme\Safety Bar
Status: 0xc0000034



Folder C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\PSGuard.com not found!
Deletion of folder C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\PSGuard.com failed!

Could not process line:
C:\Dokumente und Einstellungen\Clem\Anwendungsdaten\PSGuard.com
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PSGuard spyware remover not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PSGuard spyware remover failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjighg not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjighg failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\style2 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwil32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Hier die nächste:


smitRem © log file
version 3.2

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\SmitRem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 208 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN!

rapport 1:

SmitFraudFix v2.87

Scan done at 0:28:32,79, 11.09.2006
Run from C:\Dokumente und Einstellungen\Clem\Desktop\Kampf gegen den Virus\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\date.ico Deleted
C:\WINDOWS\system32\network.ico Deleted
C:\WINDOWS\system32\pharm.ico Deleted
C:\WINDOWS\system32\spam.ico Deleted
C:\WINDOWS\system32\spyware.ico Deleted
C:\WINDOWS\system32\winstyle3.dll Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


rapport 2:

SmitFraudFix v2.87

Scan done at 0:28:32,79, 11.09.2006
Run from C:\Dokumente und Einstellungen\Clem\Desktop\Kampf gegen den Virus\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\date.ico Deleted
C:\WINDOWS\system32\network.ico Deleted
C:\WINDOWS\system32\pharm.ico Deleted
C:\WINDOWS\system32\spam.ico Deleted
C:\WINDOWS\system32\spyware.ico Deleted
C:\WINDOWS\system32\winstyle3.dll Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

#4 scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 was heißt:

vor die Malware-Einträge Häkchen setzen

welche sind das?

einfach fix checked drücken? und dann neustarten?

Und was mach ich mit deiner zitat box?

ich soll das wahrscheinlich selber bestimmen welche von den files gut und welche schlecht sind?

ok, ich bin blöd, habs gecheckt...einen moment..


von den malwareeinträgen werden mir nur die google toolbar sachen angezeigt (und zwar vier)

bei den windows:/ dateien werden mir nur drei (nvidia, nero und daemon, ich denke von daemon tool, angezeigt)

rest nicht vorhanden....soll ich nur die vier googletoolbar sachen markieren und dann weiter ----fix checked...etc...??

es gibt zwei weitere die ich nicht zuordnen kann:

beid 018 protocol einmal livecall einmal msnim befinden sich in c:/programme.... sind .dll dateien..

ok ich lösch jetzt mal die vier und mache dann weiter mit dem ewido scan

ewido bericht:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 01:45:22 11.09.2006

+ Scan-Ergebnis:



HKU\S-1-5-21-839522115-1078145449-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe -> Backdoor.Virkel.A : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Clem\Cookies\clem@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Clem\Cookies\clem@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Gesäubert.


::Berichtende

Also, jetzt scheint alles wegzusein, auch im IE. Außerdem keine Meldungen mehr vom AntiVir Guard. Schonmal vielen Dank, ich melde mich aber nochmal.....

Ok, alles gut !!! Vielen Dank für die Hilfe !!!

MFG
Clemens

#6 ´«

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

hier sind die Eintraege, man muss nur sehen ..einige sind eventuell nicht mehr vorhanden.........

Zitat

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: (no name) - {D3B3C51E-8D11-4667-85B9-0930F519BED7} - C:\WINDOWS\system32\ljjighg.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll

O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe

O20 - Winlogon Notify: ljjighg - C:\WINDOWS\SYSTEM32\ljjighg.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q238046_disk.dll (file missing)

O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

PC neustarten

**
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit