TR/Vundo.gen Antivir blockt NonStop!!!

#0
29.11.2006, 17:55
Member

Beiträge: 39
#1 Hallo
habe leider ein kleines Problem mit diesem Trojaner: TR/Vundo.gen
Wollte eigentlich dieses Wochenende mal das Elend mit WinAntiVirus 2006 beheben das mich schon seit einer Woche nervte.

Aber jetzt kommt es besser: Rechner fährt hoch, gebe Passwort ein, sofort Fehlermedung von Antivir, klicke Meldung weg, Desktop erscheint, Fehlermedung von Antivir und die bekomme ich nicht weg.
Hier der genaue Fundort: C:\Windows\java\cmatpi.dll

Habe Rechner im Abgesicherten Modus als Admin gescannt mit Antivir aber da findet der nix. Hoffe ihr könnt mir helfen. Habe schon mit HiJack gescannt Post folgt, aber nicht im Abgesicherten Modus. Falls der Scan umbedingt im Abgesicherten Modus erfolgen muß bitte kurz melden. Kann ich die Reperaturarbeiten auch im Abgesicherten Modus ausführen, denn bei normalem Betrieb springt mich ja immer die Fehlermeldung von AntiVir an.
Danke für die Hilfe.

Gruß Jack

HiJack LogFile

Logfile of HijackThis v1.99.1
Scan saved at 17:28:34, on 29.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\JtG\DBox2.exe
C:\totalcmd\TOTALCMD.EXE
C:\Virus\HiJack\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\gxmxjrbs.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {3C3F897A-B33D-4A2E-A797-B0B269503550} - C:\WINDOWS\java\cmatpi.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\BP Go!Zilla v4.1\GoIEHlp.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Go!Zilla] "C:\Programme\BP Go!Zilla v4.1\gozilla.exe" /tray
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\BP Go!Zilla v4.1\download-with-gozilla.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: cmatpi - C:\WINDOWS\java\cmatpi.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineak32 - wineak32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 29.11.2006 um 21:50 Uhr von jack.black editiert.
Seitenanfang Seitenende
29.11.2006, 23:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 jack.black

«««««««
Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

Zitat

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\java\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit
3. Speichere die Datei als findtheother.bat auf dem Desktop
4. Doppel klick auf diese Datei findtheother.bat ( textdatei abkopieren und posten)

««««««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«««««««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««««««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.11.2006, 23:37
Member

Themenstarter

Beiträge: 39
#3 Hi Sabina
danke für die schnelle Antwort!
Wenn du mir jetzt noch sagst ob ich das auch im Abgesicherten Modus machen kann, weil mir sonst die Fehlermeldung nicht genug Zeit läßt werde ich das morgen nachmittag sofort machen und posten.
Danke
Jack
Seitenanfang Seitenende
29.11.2006, 23:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wo du willst, normal- oder abgesicherter modus
mit ein bisschen Arbeit bekommt man das sauber.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2006, 00:18
Member

Themenstarter

Beiträge: 39
#5 So Sabina,
hier die Logs

************************************
**These are the hidden files found**
************************************
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\java


Verzeichnis von C:\WINDOWS\java

**These are the system files found**
************************************
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\java


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\system32

29.11.2006 17:13 13.646 wpa.dbl
29.11.2006 17:13 54.112 vsconfig.xml
27.11.2006 17:39 88.340 cxtoafiu.exe
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
10.11.2006 00:00 110.612 dcglmtmh.exe
08.11.2006 02:38 10.342.824 MRT.exe
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll
29.10.2006 20:19 380.486 perfh009.dat
29.10.2006 20:19 52.900 perfc009.dat
29.10.2006 20:19 391.330 perfh007.dat
29.10.2006 20:19 63.784 perfc007.dat
29.10.2006 20:19 897.954 PerfStringBackup.INI
25.10.2006 07:09 143 mcrh.tmp
17.10.2006 12:06 443.904 html.iec
17.10.2006 12:06 78.336 ieencode.dll
17.10.2006 12:05 206.336 WinFXDocObj.exe
17.10.2006 12:05 1.817.088 inetcpl.cpl


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS

29.11.2006 23:54 505.410 ntbtlog.txt
29.11.2006 23:54 2.048 bootstat.dat
29.11.2006 23:53 1.558.150 WindowsUpdate.log
29.11.2006 21:23 774 SchedLgU.Txt
29.11.2006 21:23 50 wiaservc.log
29.11.2006 21:23 214 wiadebug.log
29.11.2006 17:29 652 wincmd.ini
29.11.2006 17:13 0 0.log
28.11.2006 16:11 202 NeroDigital.ini
28.11.2006 15:05 54.156 QTFont.qfn
21.11.2006 23:13 38.949 spupdsvc.log
21.11.2006 23:10 23.141 ie7_main.log
21.11.2006 23:10 92.767 iis6.log
21.11.2006 23:10 124.761 ntdtcsetup.log
21.11.2006 23:10 33.072 ocmsn.log
21.11.2006 23:10 231.657 tsoc.log
21.11.2006 23:10 54.839 ie7.log
21.11.2006 23:10 30.175 msgsocm.log
21.11.2006 23:10 591.366 FaxSetup.log
21.11.2006 23:09 60.082 updspapi.log
21.11.2006 23:08 1.393 imsins.BAK
21.11.2006 23:08 11.261 IDNMitigationAPIs.log
21.11.2006 23:07 10.952 NLSDownlevelMapping.log


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\Temp

29.11.2006 23:55 255 WGAErrLog.txt
1 Datei(en) 255 Bytes
0 Verzeichnis(se), 5.744.828.416 Bytes frei


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.09.2005 11:17 65 desktop.ini
27.08.2005 12:30 5.065 swflash.inf
26.08.2005 14:57 495 LegitCheckControl.inf
19.03.2002 10:28 143.360 isusweb.dll
19.03.2002 10:25 24.576 dwusplay.dll
19.03.2002 10:25 192.512 dwusplay.exe
6 Datei(en) 366.073 Bytes
0 Verzeichnis(se), 5.744.828.416 Bytes frei


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\

30.11.2006 00:02 0 sys.txt
30.11.2006 00:01 546 down.txt
30.11.2006 00:00 271 tmp.txt
30.11.2006 00:00 11.129 system.txt
29.11.2006 23:59 129 systemtemp.txt
29.11.2006 23:57 102.855 system32.txt
29.11.2006 23:54 805.306.368 pagefile.sys
29.11.2006 23:50 960 contents.txt
29.11.2006 17:09 2.393 vm404.log
28.11.2006 23:36 133.690 hpfr3425.log
28.11.2006 23:36 527 hpfr3420.xml
19.07.2006 15:30 404 avenger.txt
19.07.2006 13:34 792 VundoFix.txt
18.07.2006 11:02 1.213 rapport.txt
17.07.2006 16:30 359 find.txt
17.07.2006 16:16 9.481 files.txt
17.07.2006 11:50 2 DirDPFCns.txt
17.07.2006 11:50 709 DirDPF.txt
17.07.2006 11:32 981 c.txt
09.09.2005 22:23 211 boot.ini
09.09.2005 22:19 47.564 NTDETECT.COM
09.09.2005 22:19 251.184 ntldr
09.09.2005 11:18 0 CONFIG.SYS
09.09.2005 11:18 0 IO.SYS
09.09.2005 11:18 0 MSDOS.SYS
09.09.2005 11:18 0 AUTOEXEC.BAT
02.04.2003 13:00 4.952 bootfont.bin
27 Datei(en) 805.876.720 Bytes
0 Verzeichnis(se), 5.744.828.416 Bytes frei


----------------------------------------------------------------------------


Administrator - 06-11-30 0:03:02,59 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\ICROSO~1.NET
C:\QooBox\Purity\WINDOWS\ICROSO~1.NET\ICROSO~1.NET


((((((((((((((((((((((((((((((( Files Created from 2006-10-30 to 2006-11-30 ))))))))))))))))))))))))))))))))))


2006-11-29 23:50 <DIR> d-------- C:\Vundo
2006-11-29 23:49 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2006-11-29 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2006-11-27 17:39 88,340 --a------ C:\WINDOWS\system32\cxtoafiu.exe
2006-11-21 23:09 <DIR> d-------- C:\WINDOWS\WBEM
2006-11-21 23:09 <DIR> d-------- C:\WINDOWS\system32\de-de
2006-11-21 23:08 <DIR> d--h-c--- C:\WINDOWS\ie7
2006-11-21 23:07 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-11-21 23:06 <DIR> d-------- C:\WINDOWS\network diagnostic
2006-11-15 23:31 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-10 00:00 110,612 --a------ C:\WINDOWS\system32\dcglmtmh.exe
2006-11-07 21:03 6,049,280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50,688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458,752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 180,736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 03:26 13,312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-05 18:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser
2006-11-05 16:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\SendTo
2006-11-05 16:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.
2006-11-05 16:58 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2006-11-05 16:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2006-11-05 16:58 <DIR> d--hs---- C:\Dokumente und Einstellungen\Administrator\Cookies
2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Recent
2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2006-11-05 16:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2006-11-05 16:58 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Desktop
2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..
2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\..
2006-11-05 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-28 16:39 -------- d-------- C:\Programme\Micropose
2006-11-28 14:37 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-21 23:12 -------- d-------- C:\Programme\Internet Explorer
2006-11-13 22:59 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-10-25 07:24 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-10-13 17:46 98324 --a------ C:\WINDOWS\system32\mpunwxry.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-03 21:52 -------- d-------- C:\Programme\BP Go!Zilla v4.1
2006-09-30 16:52 -------- d-------- C:\Programme\D-Tools
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-06 16:42 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\point32.exe\""
"QuickFinder Scheduler"="\"C:\\Programme\\WordPerfect Office 11\\Programs\\QFSCHD110.EXE\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cmatpi
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineak32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1126366123.job

Completion time: 06-11-30 0:04:22.62
C:\ComboFix.txt ... 06-11-30 00:04


---------------------------------------------------------------------------

Vielen Dank und eine gute Nacht
Jack
Seitenanfang Seitenende
30.11.2006, 10:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 jack.black

ich nehme an, du hast schon mit vundofix gescannt, denn der vundo in C:\WINDOWS\java scheint geloescht ;) ???????????
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cmatpi
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineak32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{013A653B-49A6-4f76-8B68-E4875EA6BA54}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C3F897A-B33D-4A2E-A797-B0B269503550}

Files to delete:
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\cxtoafiu.exe
C:\WINDOWS\system32\dcglmtmh.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\gxmxjrbs.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {3C3F897A-B33D-4A2E-A797-B0B269503550} - C:\WINDOWS\java\cmatpi.dll
**
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2006, 17:58
Member

Themenstarter

Beiträge: 39
#7 Hi Sabina

also habe gerade den Vundofix scannen lassen, habe vorher auch die Systemherstellung deaktiviert. Der hat dann 5 Files gefunden kann aber nur 4 löschen. Bei C:\Windows\java\cmatpi.dll meldet der Error 75 kann nicht löschen und versucht es nach einem Reboot nochmal leider bekommt der den dann auch nicht weg. Werde die Anleitung mal weiter abarbeiten und sehen was Du dazu meinst.

Danke
Jack
Seitenanfang Seitenende
30.11.2006, 19:05
Member

Themenstarter

Beiträge: 39
#8 So hier der Rest bzw das HiJack Log.

Logfile of HijackThis v1.99.1
Scan saved at 18:52:27, on 30.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Virus\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\BP Go!Zilla v4.1\GoIEHlp.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [rgnwwvil] C:\ewxvpyvc.bat
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Dokumente und Einstellungen\Administrator\Desktop\vundofix.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
01.12.2006, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 erstelle eine find.bat und poste den text

Zitat

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\java
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2006, 08:31
Member

Themenstarter

Beiträge: 39
#10 Moin

also erstens: Der Normale Rechnerbetrieb geht bei mir wieder die Fehlermeldung ist weg. Aber erst als ich das gestern abend mal getestet habe hat der den Avenger beendet und ich konnte da auch endlich das backup.zip löschen. Da hatte ich dir aber schon das Hijack aus dem Abgesicherten Modus gepostet.
Zweitens: Hier nun das was der find.bat gefunden hat.

************************************
**These are the hidden files found**
************************************
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\java

************************************
**These are the system files found**
************************************
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E043-B8CF

Verzeichnis von C:\WINDOWS\java


Befürchte das ich die Prozedur oben jetzt nochmal machen darf, aber jetzt kann ich ja wieder in den Normal Modus.
Warte auf Anweisungen.

Gruß
Jack
Seitenanfang Seitenende
01.12.2006, 11:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 C:\WINDOWS\java - scheint sauber zu sein ;)
was mich ein bisschen durcheinanderbringt ist:
die 1. bat-Datei hat ebenfalls angegeben, dass java sauber ist , dennoch hat der vundofix etwas gefunden ;)
C:\Windows\java\cmatpi.dll meldet der Error 75

scanne also bitte noch mal mit vundofix, dann suche die zwei scanreporte von vundofix und poste sie hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.12.2006, 21:14
Member

Themenstarter

Beiträge: 39
#12 Hi
also verstehe das nicht so ganz. Habe mit Vundofix gescannt und dann ein Hijack ausgeführt und das Log kopiert, steht unten. Ist es der Scanreport den du meintest oder hab ich da was falsch vertstanden???


Logfile of HijackThis v1.99.1
Scan saved at 21:11:16, on 01.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\JtG\DBox2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\JtG\atelnet.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\JtG\udrec.exe
C:\Virus\HiJack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\BP Go!Zilla v4.1\GoIEHlp.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Go!Zilla] "C:\Programme\BP Go!Zilla v4.1\gozilla.exe" /tray
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\BP Go!Zilla v4.1\download-with-gozilla.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Danke
Jack
Seitenanfang Seitenende
02.12.2006, 17:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 «
fixe mit dem HijackThis:
O15 - Trusted Zone: http://locator.cdn.imageservr.com

«
ich versuche dir zu erklaeren, was passiert ist:
ich habe den vundo gesehen in C:\WINDOWS\java\cmatpi.dll
also habe ich eine bat-Datei erstellt, welche die versteckten (nicht sichtbaren Dateien) anzeigen sollte, normalerweise, bak , bak1 und bak2 -Dateien.
Ergebnis war: java ...sauber , keine versteckten Dateien, obwohl sie eigentlich vorhanden sein sollten, was der vundofix dann auch bestaetigt hat - indem er die dll geloescht hat (?)

nun - es muesste wieder alles sauber sein, ich nehme an, der vundofix hat die java-Datei gesaeubert - oder kommen noch popups ???

»»
mache zur Sicherheit noch einen Onlinescan mit Panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.12.2006, 17:47
Member

Themenstarter

Beiträge: 39
#14 OK

werde das fixen und den Online Scan machen. Pop-Ups, der Fehlermeldung von AntiVir nicht, was mir schon viel wert ist. Werde dann nachher mal wieder den Rechner ans Netz anschliessen und gucken bzw mit Panda scannen.
Habe da aber schon mal ein paar allgemeine Fragen die du mir evtl beantworten könntest.

1.) Sollte ich die Systemwiederherstellung immer ausschalten wenn ich nach Viren scanne (AntiVir, Spybot, Ewido) damit die auch wirklich weg sind oder ist das überflüssig bei denen.

2.) Bringt es etwas wenn ich ein weiteren Benutzeracccount mit eingeschränkten Berechtigungen erstelle, um mit diesem im Netz zu surfen? Können die Viren sich dann überhaupt festschreiben, das müßte doch gesperrt werden über die Einschränkung? Oder ist das ein riesiger Blödsinn und Irrglaube.

3.) Kann ich eigentlich die Java-Komponente während dem Surfen sperren weil ich das Gefühl habe das liegt alles nur an JavaScript?

Bitte nicht sofort die Hände über dem Kopf zusammenschlagen. Mir reichen kurze Antworten ;-).

Danke
Jack

P.S. Das Panda-Log usw folgt bestimmt erst morgen nachmittag/abend.
Seitenanfang Seitenende
02.12.2006, 19:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 1.
die Systemwiederherstellung sollte nach Virenbefall deaktiviert werden (dann wieder aktivieren)

2.
C:\WINDOWS\JAVA - ist eine regulaere Datei - der Vundotrojaner hatte sich dort festgesetzt. - das hat nichts mit javascript zu tun.

3.
Benutzeracccount mit eingeschränkten Berechtigungen - ist ein guter Schutz.

««
eine andere Vorsichtsmassnahme: ist der Browser Firefox
http://virus-protect.org/firefox.html
als Alternativbrowser zum IE (der bleibt fuer die Windowsupdates)

««
und die Sandboxie
http://virus-protect.org/artikel/tools/sandboxie.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: