TR/vundo.gen löschen??

#76 Mach ich das im abgesicherten Modus? Ich kriege nämlich sonst den antivir guard nicht ausgestellt. Ich könnte ihn natürlich auch deinstallieren vorher.

#77 Ohne ein Virenscanner ins Netz gehen ist fuer dein Rechner selbstmord
Wenn ich in der Anleitung von Antivir kucke kannst du den Guard de-aktivieren
http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf

Fange mit MBAM an

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Karteikarte
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nach Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

ComboFix(by sUBs)

Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

Entferne dan die alte Version von Hijack This und installiere die letzte Version und poste das log
__________
MfG Argus

#78 Hallo,
könnt ihr mir helfen???
wie bekomm ich diesen sch... virus wieder weg??

mfg
Mirco

#79 Also:
Ich hoffe, ich habe die Anleitungen richtig befolgt. Der Rechner piept auf jeden Fall nicht mehr wie blöd.

Malwarebytes liess sich nicht updaten. Trotz Erlaubnis der Firewall konnte es nicht ins Internet. Keine Ahnung warum.

Malwarebytes log:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

29.10.2008 18:13:41
mbam-log-2008-10-29 (18-13-41).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47429
Laufzeit: 4 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\khfEuTmJ.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfeutmj (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e9349597-6e81-47f3-b05d-469763764fb7} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\khfEuTmJ.dll (Trojan.Vundo.H) -> Delete on reboot.


Combofix:
ComboFix 08-10-25.01 - AE 2008-10-29 18:20:05.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1459 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\AE\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-29 ))))))))))))))))))))))))))))))
.

2008-10-29 18:08 . 2008-10-29 18:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-29 18:08 . 2008-10-29 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-29 18:08 . 2008-10-29 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Malwarebytes
2008-10-29 18:08 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-29 18:08 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 19:46 . 2008-10-27 19:46 <DIR> d-------- C:\Programme\Panda Security
2008-10-27 19:46 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-27 16:35 . 2008-10-27 16:35 <DIR> d-------- C:\Programme\Realtek AC97
2008-10-27 14:08 . 2008-10-27 14:09 <DIR> d-------- C:\Programme\CleanUp!
2008-10-27 13:52 . 2006-02-28 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-10-27 13:51 . 2006-02-28 13:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20924.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20833.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20424.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20423.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20420.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20297.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20290.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20273.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20269.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20108.nls
2008-10-27 13:49 . 2006-02-28 13:00 186,402 --a--c--- C:\WINDOWS\system32\dllcache\c_20001.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1149.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1148.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1142.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1141.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1140.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1047.nls
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-10-27 13:45 . 2008-10-27 13:45 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-10-27 12:45 . 2008-10-27 12:45 <DIR> d-------- C:\VundoFix Backups
2008-10-27 12:10 . 2006-02-28 13:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-10-24 08:46 . 2008-10-24 08:46 243,200 --a------ C:\WINDOWS\system32\ddcCvTnL.dl
2008-10-15 21:12 . 2008-10-15 21:12 99,904 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 17:19 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\FRITZ!
2008-10-29 17:14 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\uTorrent
2008-10-29 17:03 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-27 20:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-27 15:40 --------- d-----w C:\Programme\iWin.com
2008-10-27 15:21 --------- d-----w C:\Programme\NCH Swift Sound
2008-10-27 15:15 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Lavasoft
2008-10-27 12:44 1,691 ----a-w C:\WINDOWS\inf\COMC3.tmp
2008-10-27 10:25 3,227,136 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp
2008-10-27 10:25 12,800 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp
2008-10-27 10:23 971,776 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp
2008-10-27 10:23 3,227,136 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp
2008-10-27 09:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-10 14:28 119,311 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_10_10_05_58_56_small.dmp.zip
2008-10-07 11:39 24,267,921 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-09-24 04:33 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\iPodder
2008-08-19 12:29 21,987,159 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_19_06_30_04_full.dmp.zip
2008-08-06 08:27 117,039 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_07_20_12_small.dmp.zip
2008-08-06 07:06 3,674,624 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp
2008-01-01 18:34 19,112 ----a-w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-22 11:03 81,920 ----a-w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\ezpinst.exe
2007-11-22 11:03 47,360 ----a-w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\pcouffin.sys
.

((((((((((((((((((((((((((((( snapshot@2008-10-27_15.40.00.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-11-18 03:20:26 217,088 ----a-r C:\WINDOWS\Alcrmv.exe
+ 2006-07-31 10:27:30 217,088 ----a-w C:\WINDOWS\Alcrmv.exe
- 2006-03-20 03:48:22 315,392 ----a-r C:\WINDOWS\alcupd.exe
+ 2006-07-31 10:19:24 315,392 ----a-w C:\WINDOWS\alcupd.exe
- 2006-06-20 21:42:44 577,536 ----a-r C:\WINDOWS\soundman.exe
+ 2007-04-16 14:28:22 577,536 ----a-w C:\WINDOWS\soundman.exe
- 2005-07-15 08:48:00 40,960 ----a-r C:\WINDOWS\system32\ChCfg.exe
+ 2006-08-01 14:02:32 49,152 ----a-w C:\WINDOWS\system32\ChCfg.exe
+ 2004-08-03 22:08:00 60,288 -c--a-w C:\WINDOWS\system32\dllcache\drmk.sys
+ 2004-08-03 22:15:22 140,928 -c--a-w C:\WINDOWS\system32\dllcache\ks.sys
+ 2004-08-03 23:57:24 4,096 -c--a-w C:\WINDOWS\system32\dllcache\ksuser.dll
+ 2004-08-03 22:15:50 145,792 -c--a-w C:\WINDOWS\system32\dllcache\portcls.sys
+ 2004-08-03 22:08:04 48,640 -c--a-w C:\WINDOWS\system32\dllcache\stream.sys
+ 2004-08-03 23:58:28 23,552 -c--a-w C:\WINDOWS\system32\dllcache\wdmaud.drv
- 2006-06-27 09:42:14 3,972,672 ----a-r C:\WINDOWS\system32\drivers\alcxwdm.sys
+ 2008-08-06 14:45:14 4,122,112 ----a-r C:\WINDOWS\system32\drivers\alcxwdm.sys
- 2006-02-28 12:00:00 60,288 ----a-w C:\WINDOWS\system32\drivers\drmk.sys
+ 2004-08-03 22:08:00 60,288 ----a-w C:\WINDOWS\system32\drivers\drmk.sys
- 2006-02-28 12:00:00 140,928 ----a-w C:\WINDOWS\system32\drivers\ks.sys
+ 2004-08-03 22:15:22 140,928 ----a-w C:\WINDOWS\system32\drivers\ks.sys
- 2006-02-28 12:00:00 145,792 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
+ 2004-08-03 22:15:50 145,792 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
- 2006-02-28 12:00:00 48,640 ----a-w C:\WINDOWS\system32\drivers\stream.sys
+ 2004-08-03 22:08:04 48,640 ----a-w C:\WINDOWS\system32\drivers\stream.sys
- 2006-06-08 00:00:40 143,360 ----a-r C:\WINDOWS\system32\RtlCPAPI.dll
+ 2006-10-18 01:53:26 147,456 ----a-w C:\WINDOWS\system32\RtlCPAPI.dll
- 2006-06-20 21:35:40 10,527,744 ----a-r C:\WINDOWS\system32\RTLCPL.exe
+ 2006-12-08 14:20:14 10,528,768 ----a-w C:\WINDOWS\system32\RTLCPL.exe
- 2006-02-28 12:00:00 23,552 ----a-w C:\WINDOWS\system32\wdmaud.drv
+ 2004-08-03 23:58:28 23,552 ----a-w C:\WINDOWS\system32\wdmaud.drv
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]
"PcSync"="F:\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
"Picasa Media Detector"="F:\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

C:\Dokumente und Einstellungen\AE\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - F:\FritzBox\FwebProt.exe [2007-09-07 1070384]
FRITZ!DSL Startcenter.lnk - F:\FritzBox\StCenter.exe [2007-09-11 804144]
Randomizer.lnk - F:\Randomizer\Randomizer.exe [2005-04-29 208896]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - F:\Logitech\SetPoint\SetPoint.exe [2008-09-10 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AnyDVD"="F:\AnyDVD\AnyDVD.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"EA Core"=C:\Programme\Electronic Arts\EADM\Core.exe -silent
"Google Update"="C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
"AnOtherWC"="F:\Temp\AOWC.exe" aowcstart
"PeerGuardian"=F:\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
"RecordPadRun"="C:\Programme\NCH Swift Sound\RecordPad\recordpad.exe" -logon
"PCSuiteTrayApplication"=F:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"InCD"=I:\Nero 7\InCD\InCD.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"Picasa Media Detector"=F:\Picasa2\PicasaMediaDetector.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="F:\iTunes\iTunesHelper.exe"
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"ZoneAlarm Client"="F:\ZoneAlarm\zlclient.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\eMule\\emule.exe"=
"F:\\utorrent.exe"=
"F:\\iTunes\\iTunes.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 15187]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2006-12-20 78848]
R2 IGDCTRL;AVM IGD CTRL Service;F:\FritzBox\IGDCTRL.EXE [2007-09-04 87344]
S3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 15571]
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 39936]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 27072]
S4 ClipInc001;ClipInc 001;f:\Clipinc\Server\ClipInc-Server.exe 001 [ ]
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Click Maintenance.job
- F:\TuneUp\SystemOptimizer.exe [2005-09-21 22:35]

2008-10-27 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe []

2008-10-28 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 06:18]

2007-08-22 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- F:\Spybot - Search & Destroy\SpybotSD.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\lhz6u7ou.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de/
FF -: plugin - C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Microsoft Silverlight\2.0.30523.8\npctrl.dll
FF -: plugin - F:\Acrobat Reader\Reader\browser\nppdf32.dll
FF -: plugin - F:\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - F:\Firefox\plugins\NPAdbESD.dll
FF -: plugin - F:\Firefox\plugins\npdivx32.dll
FF -: plugin - F:\Firefox\plugins\npmozax.dll
FF -: plugin - F:\Firefox\plugins\npnul32.dll
FF -: plugin - F:\Firefox\plugins\nppdf32.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin2.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin3.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin4.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin5.dll
FF -: plugin - F:\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 18:21:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-29 18:23:02
ComboFix-quarantined-files.txt 2008-10-29 17:22:55
ComboFix2.txt 2008-10-27 14:41:40

Vor Suchlauf: 14 Verzeichnis(se), 14.063.976.448 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14,094,114,816 Bytes frei

227 --- E O F --- 2008-10-15 04:30:28

Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24:40, on 29.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
F:\AntiVir PersonalEdition Classic\sched.exe
F:\AntiVir PersonalEdition Classic\avguard.exe
F:\FritzBox\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
F:\Firefox\firefox.exe
F:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = F:\FritzBox\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = F:\FritzBox\StCenter.exe
O4 - Startup: Randomizer.lnk = F:\Randomizer\Randomizer.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164820188000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - F:\FritzBox\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - I:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\TuneUp\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5052 bytes

#80 Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#81 Meinst du mich?

Nach einem Update hat ComboFix mich nicht gefragt, und das Log ist komplett, habe es mir gerade nochmal angeschaut.

Hinterher habe ich nochmal das Virenprogramm laufen lassen, dass noch ganz viel gefunden hat, diesmal aber auch beseitigen konnte.

#82 @kn
Entferne ComboFix mit diesen Kommando
Start>Ausfuehren kopiere rein combofix /u ok
und download neu
__________
MfG Argus

#83 Ok, combofix nochmal ausgeführt:

ComboFix 08-10-30.07 - AE 2008-10-30 17:54:05.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1617 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\AE\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-30 ))))))))))))))))))))))))))))))
.

2008-10-29 18:08 . 2008-10-29 18:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-29 18:08 . 2008-10-29 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-29 18:08 . 2008-10-29 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Malwarebytes
2008-10-29 18:08 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-29 18:08 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 19:46 . 2008-10-27 19:46 <DIR> d-------- C:\Programme\Panda Security
2008-10-27 19:46 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-27 16:35 . 2008-10-27 16:35 <DIR> d-------- C:\Programme\Realtek AC97
2008-10-27 14:08 . 2008-10-27 14:09 <DIR> d-------- C:\Programme\CleanUp!
2008-10-27 13:52 . 2006-02-28 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-10-27 13:51 . 2006-02-28 13:00 10,096,640 --a--c--- C:\WINDOWS\system32\dllcache\hwxcht.dll
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20924.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20833.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20424.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20423.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20420.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20297.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20290.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20273.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20269.nls
2008-10-27 13:50 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_20108.nls
2008-10-27 13:49 . 2006-02-28 13:00 186,402 --a--c--- C:\WINDOWS\system32\dllcache\c_20001.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1149.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1148.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1142.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1141.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1140.nls
2008-10-27 13:49 . 2006-02-28 13:00 66,082 --a--c--- C:\WINDOWS\system32\dllcache\c_1047.nls
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-10-27 13:45 . 2008-10-27 13:45 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-10-27 13:45 . 2008-10-27 13:45 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-10-27 12:45 . 2008-10-27 12:45 <DIR> d-------- C:\VundoFix Backups
2008-10-27 12:10 . 2006-02-28 13:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-10-15 21:12 . 2008-10-15 21:12 99,904 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-09-23 19:30 . 2008-09-24 05:33 <DIR> d-------- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\iPodder
2008-09-03 06:43 . 2008-09-03 06:43 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-03 06:43 . 2008-09-03 06:43 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-03 06:43 . 2008-09-03 06:43 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-03 06:41 . 2008-09-03 06:43 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-03 06:37 . 2008-09-03 06:37 <DIR> d-------- C:\WINDOWS\EHome

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-30 16:52 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\FRITZ!
2008-10-30 16:48 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\uTorrent
2008-10-30 16:38 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-29 20:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-27 20:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-27 15:40 --------- d-----w C:\Programme\iWin.com
2008-10-27 15:21 --------- d-----w C:\Programme\NCH Swift Sound
2008-10-27 15:15 --------- d-----w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Lavasoft
2008-10-27 12:44 1,691 ----a-w C:\WINDOWS\inf\COMC3.tmp
2008-10-27 10:25 3,227,136 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp
2008-10-27 10:25 12,800 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp
2008-10-27 10:23 971,776 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp
2008-10-27 10:23 3,227,136 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp
2008-10-10 14:28 119,311 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_10_10_05_58_56_small.dmp.zip
2008-10-07 11:39 24,267,921 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-08-19 12:29 21,987,159 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_19_06_30_04_full.dmp.zip
2008-08-06 08:27 117,039 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_08_06_07_20_12_small.dmp.zip
2008-08-06 07:06 3,674,624 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-01 04:14 124,531 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_06_30_17_43_05_small.dmp.zip
2008-01-01 18:34 19,112 ----a-w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-22 11:03 81,920 ----a-w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\ezpinst.exe
2007-11-22 11:03 47,360 ----a-w C:\Dokumente und Einstellungen\AE\Anwendungsdaten\pcouffin.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 15360]
"PeerGuardian"="F:\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"ZoneAlarm Client"="F:\ZoneAlarm\zlclient.exe" [2007-03-09 919280]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2006-02-28 160768]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 15360]
"PcSync"="F:\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304]
"Picasa Media Detector"="F:\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

C:\Dokumente und Einstellungen\AE\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - F:\FritzBox\FwebProt.exe [2007-09-07 1070384]
FRITZ!DSL Startcenter.lnk - F:\FritzBox\StCenter.exe [2007-09-11 804144]
Randomizer.lnk - F:\Randomizer\Randomizer.exe [2005-04-29 208896]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Logitech SetPoint.lnk - F:\Logitech\SetPoint\SetPoint.exe [2008-09-10 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=2 (0x2)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"LBTServ"=3 (0x3)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=3 (0x3)
"Apple Mobile Device"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AnyDVD"="F:\AnyDVD\AnyDVD.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"EA Core"=C:\Programme\Electronic Arts\EADM\Core.exe -silent
"Google Update"="C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
"AnOtherWC"="F:\Temp\AOWC.exe" aowcstart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
"RecordPadRun"="C:\Programme\NCH Swift Sound\RecordPad\recordpad.exe" -logon
"PCSuiteTrayApplication"=F:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"InCD"=I:\Nero 7\InCD\InCD.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"Picasa Media Detector"=F:\Picasa2\PicasaMediaDetector.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="F:\iTunes\iTunesHelper.exe"
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\eMule\\emule.exe"=
"F:\\utorrent.exe"=
"F:\\iTunes\\iTunes.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 15187]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2006-12-20 78848]
R2 IGDCTRL;AVM IGD CTRL Service;F:\FritzBox\IGDCTRL.EXE [2007-09-04 87344]
S3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 15571]
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 39936]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 27072]
S4 ClipInc001;ClipInc 001;f:\Clipinc\Server\ClipInc-Server.exe 001 [ ]

*Newly Created Service* - PGFILTER
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 C:\WINDOWS\Tasks\1-Click Maintenance.job
- F:\TuneUp\SystemOptimizer.exe [2005-09-21 22:35]

2008-10-27 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe []

2008-10-29 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job
- C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 06:18]

2007-08-22 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- F:\Spybot - Search & Destroy\SpybotSD.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\lhz6u7ou.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de/
FF -: plugin - C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_10\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Microsoft Silverlight\2.0.30523.8\npctrl.dll
FF -: plugin - F:\Acrobat Reader\Reader\browser\nppdf32.dll
FF -: plugin - F:\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - F:\Firefox\plugins\NPAdbESD.dll
FF -: plugin - F:\Firefox\plugins\npdivx32.dll
FF -: plugin - F:\Firefox\plugins\npmozax.dll
FF -: plugin - F:\Firefox\plugins\npnul32.dll
FF -: plugin - F:\Firefox\plugins\nppdf32.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin2.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin3.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin4.dll
FF -: plugin - F:\Firefox\plugins\npqtplugin5.dll
FF -: plugin - F:\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 17:55:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-30 17:56:47
ComboFix-quarantined-files.txt 2008-10-30 16:56:39
ComboFix2.txt 2008-10-29 17:23:04
ComboFix3.txt 2008-10-27 14:41:40

Vor Suchlauf: 14 Verzeichnis(se), 13.973.618.688 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 13,962,301,440 Bytes frei

213 --- E O F --- 2008-10-15 04:30:28

#84 CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Download OTCleanIt. by OldTimer zum Desktop
Schliesse alle Fenster
Doppelklick: OTCleanIt.
Klicke: CleanUp

Wenn gefragt wird “Do you want to reboot now?”klicke “Yes”
Dein Rechner wird neu gestartet
Vista benutzer: rechtermausklick auf OTCleanIt.exe und waehle "Run as an Administrator"

Damit werden Reste von benutzten Programme wieder entfernt

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u10 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u10-windows-i586-p-s.exe

Benutze CrapCleaner
http://virus-protect.org
__________
MfG Argus

#85 Hallo

Habe auch Probleme mit dem TR/Vundo.gen.
Wäre toll, wenn ihr mir auch helfen könnt.

LG

Hier meine dirdat.txt

Verzeichnis von H:\WINDOWS\system32

21.01.2009 10:57 2.422 wpa.dbl
20.01.2009 14:55 364.120 FNTCACHE.DAT
20.01.2009 11:00 848 KGyGaAvL.sys
19.01.2009 09:36 64.450 perfc009.dat
19.01.2009 09:36 408.928 perfh009.dat
19.01.2009 09:36 449.330 perfh007.dat
19.01.2009 09:36 87.746 perfc007.dat
19.01.2009 09:36 1.023.630 PerfStringBackup.INI
12.01.2009 21:38 2.422 wpa.bak
10.01.2009 02:35 20.853.704 MRT.exe
07.01.2009 21:43 56 ezsidmv.dat
16.12.2008 14:37 4.574 jupdate-1.6.0_11-b03.log
15.12.2008 19:35 587.378 TZLog.log
13.12.2008 07:36 3.593.216 mshtml.dll
12.12.2008 11:18 87.336 dns-sd.exe
12.12.2008 11:11 61.440 dnssd.dll
02.12.2008 16:27 183.112 PnkBstrB.exe
27.11.2008 12:00 66.872 PnkBstrA.exe
10.11.2008 05:43 148.888 javaws.exe
10.11.2008 05:43 144.792 javaw.exe
10.11.2008 05:43 144.792 java.exe
10.11.2008 05:43 410.984 deploytk.dll
10.11.2008 03:39 73.728 javacpl.cpl
2445 Datei(en) 617.351.286 Bytes
0 Verzeichnis(se), 30.181.453.824 Bytes frei
Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 98EB-8D9A

Verzeichnis von H:\WINDOWS

21.01.2009 10:58 259 wiadebug.log
21.01.2009 10:57 50 wiaservc.log
21.01.2009 10:57 1.802.346 WindowsUpdate.log
21.01.2009 10:57 0 0.log
21.01.2009 10:57 2.048 bootstat.dat
21.01.2009 10:55 32.382 SchedLgU.Txt
20.01.2009 15:10 18.358 wininit.ini
20.01.2009 14:03 4.757 Irremote.ini
20.01.2009 10:37 34 cdplayer.ini
19.01.2009 11:28 582 win.ini
19.01.2009 11:28 227 system.ini
16.01.2009 14:33 425 BRWMARK.INI
23.10.2008 12:32 73 EurekaLog.ini
06 Datei(en) 72.558.245 Bytes
0 Verzeichnis(se), 30.181.457.920 Bytes frei
Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 98EB-8D9A

Verzeichnis von H:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

21.01.2009 11:07 25.600 tmp1B.tmp
21.01.2009 11:07 678.400 tmp1C.tmp
21.01.2009 11:02 738 jusched.log
21.01.2009 10:59 16.384 ~DF469F.tmp
21.01.2009 10:59 0 etilqs_rVXarA1mXPwBHuUFFqfW
21.01.2009 10:58 7.006 cc3data_init.xml
21.01.2009 10:58 62 61CC397C.tmp
21.01.2009 10:58 1.073 4C26C330.tmp
21.01.2009 10:58 0 56BBC50D.tmp
21.01.2009 10:58 0 67332BD8.tmp
21.01.2009 10:58 0 4A3DCF57.tmp
21.01.2009 10:55 56.355.361 _Z482032
21.01.2009 10:45 16.384 ~DFDE9D.tmp
21.01.2009 10:31 62 65D586E5.tmp
21.01.2009 10:31 0 76B706C8.tmp
21.01.2009 10:31 1.073 6C2204EB.tmp
21.01.2009 10:31 0 73A3215C.tmp
21.01.2009 10:31 0 4E471CC1.tmp
21.01.2009 10:31 22.263 Turkish.bin
21.01.2009 10:31 21.975 Norwegian.bin
21.01.2009 10:31 26.094 Hungarian.bin
21.01.2009 10:31 19.564 Hebrew.bin
21.01.2009 10:31 22.868 Finnish.bin
21.01.2009 10:31 24.321 Czech.bin
21.01.2009 10:31 25.082 Portuguese(Brazil).bin
21.01.2009 10:31 24.232 Polish.bin
21.01.2009 10:31 25.093 Greek.bin
21.01.2009 10:31 21.987 Thai.bin
21.01.2009 10:31 20.991 Arabic.bin
21.01.2009 10:31 16.420 SimChin.bin
21.01.2009 10:31 21.944 English.bin
21.01.2009 10:31 26.271 Portuguese.bin
21.01.2009 10:31 24.093 SWEDISH.bin
21.01.2009 10:31 27.764 Spanish.bin
21.01.2009 10:31 26.136 Russian.bin
21.01.2009 10:31 27.421 Italian.bin
21.01.2009 10:31 25.764 German.bin
21.01.2009 10:31 27.245 French.bin
21.01.2009 10:31 16.962 TradChin.bin
21.01.2009 10:31 25.758 Dutch.bin
21.01.2009 10:31 22.794 Danish.bin
21.01.2009 10:31 20.145 Korean.bin
21.01.2009 10:31 24.310 Japanese.bin
43 Datei(en) 57.689.640 Bytes
0 Verzeichnis(se), 30.181.453.824 Bytes frei

#86 Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen “
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
“Scanner”> "Vollständigen Suchlauf durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

ComboFix(by sUBs)

Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#87 Warum postest du auf Trojaner-board das log von Hijack This und hier das log von datfindbat ?
__________
MfG Argus

#88 ist das schlimm? - kenne mich mit solchen Sachen nicht aus... in diesem forum wurde danach gefragt - auf trojaner-board nach datfindbat... kenne weder aussagekraft noch Unterschied der beiden logs...