TR/Vundo.Gen hat mich erwischt..bitte um anweisungen

#0
09.05.2007, 10:14
...neu hier

Beiträge: 5
#1 hab schon versucht, auf eigene faust das teil loszuwerden - komm aber nich mehr weiter.
hab mir wohl schon zu viele lösungswege angeschaut ;).
hier mal mein hjt-file:

Logfile of HijackThis v1.99.1
Scan saved at 10:09:37, on 09.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AE65072-5D99-4A3C-AD6F-75034E44C013} - C:\WINDOWS\system32\khfeddd.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B18F6895-E6B6-446A-9970-899109AA9431}: NameServer = 10.11.13.1
O20 - Winlogon Notify: khfeddd - C:\WINDOWS\SYSTEM32\khfeddd.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

hab auch mal combofix gestartet:

"niko" - 2007-05-09 9:59:42 Service Pack 2
ComboFix 07-05.08.3.V - Running from: "C:\Dokumente und Einstellungen\niko\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\niko\ANWEND~1\Install.dat
C:\WINDOWS\system32\vx.tll


((((((((((((((((((((((((((((((( Files Created from 2007-04-09 to 2007-05-09 ))))))))))))))))))))))))))))))))))


2007-05-09 09:36 <DIR> d-------- C:\!Submit
2007-05-09 09:28 <DIR> d-------- C:\Programme\HJT
2007-05-09 08:54 <DIR> d-------- C:\VundoFix Backups
2007-05-08 22:35 <DIR> d-------- C:\Avenger
2007-05-08 20:02 26,678 --------- C:\WINDOWS\system32\khfeddd.dll
2007-05-06 17:10 <DIR> d-------- C:\WINDOWS\SXS
2007-05-06 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-05-06 17:09 <DIR> d-------- C:\Programme\Autodesk
2007-05-06 17:08 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2007-05-06 17:08 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2007-05-06 17:08 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-05-06 17:05 <DIR> d-------- C:\Programme\Microsoft WSE
2007-05-06 17:03 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2007-05-04 00:09 6,528 --a------ C:\WINDOWS\system32\drivers\MOUSEWD.SYS
2007-05-04 00:09 <DIR> d-------- C:\Programme\OM 809 Mouse Driver
2007-05-02 18:47 <DIR> d-------- C:\Programme\QIP
2007-04-23 07:57 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-23 07:57 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-15 12:05 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macrovision
2007-04-15 12:03 <DIR> d-------- C:\Programme\AutoCAD 2004
2007-04-15 12:03 <DIR> d-------- C:\DOKUME~1\niko\ANWEND~1\Autodesk
2007-04-15 12:03 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Autodesk
2007-04-15 11:47 5,504 --a------ C:\WINDOWS\system32\drivers\xmasscsi.sys
2007-04-15 11:47 140,800 --a------ C:\WINDOWS\system32\drivers\xmasbus.sys
2007-04-15 11:47 <DIR> d-------- C:\Programme\Alcohol Soft


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-09 08:03:18 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-05-08 16:45:29 -------- d-----w C:\Programme\DScaler
2007-05-06 21:53:30 -------- d-----w C:\DOKUME~1\niko\ANWEND~1\Image Zone Express
2007-05-06 15:45:58 85,624 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-06 15:45:58 438,042 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-18 14:44:59 -------- d-----w C:\Programme\ICQLite
2007-04-10 13:40:10 -------- d-----w C:\DOKUME~1\niko\ANWEND~1\dvdcss
2007-03-19 16:33:23 -------- d-----w C:\Programme\iTunes
2007-03-19 16:33:09 -------- d-----w C:\Programme\iPod
2007-03-19 16:31:59 -------- d-----w C:\Programme\QuickTime
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{1AE65072-5D99-4A3C-AD6F-75034E44C013}"="C:\WINDOWS\system32\khfeddd.dll"
"{53707962-6F74-2D53-2644-206D7942484F}"="C:\PROGRA~1\SPYBOT~1\SDHelper.dll"
"{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}"="C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll"
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"="C:\Programme\Java\jre1.5.0_11\bin\ssv.dll"
"{B56A7D7D-6927-48C8-A975-17DF180C71AC}"="C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{1AE65072-5D99-4A3C-AD6F-75034E44C013}"="C:\WINDOWS\system32\khfeddd.dll"


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfeddd

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages msv1_0\0\0
Security Packages kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages scecli\0\0




[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter HTTPFilter\0\0
LocalService Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService DnsCache\0\0
DcomLaunch DcomLaunch\0TermService\0\0
rpcss RpcSs\0\0
imgsvc StiSvc\0\0
termsvcs TermService\0\0

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H]
Shell\AutoRun\command H:\loader.exe
Shell\langenglish\command H:\setup\i386\msetup.exe lang:english

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I]
Shell\AutoRun\command I:\loader.exe
Shell\langenglish\command I:\setup\i386\msetup.exe lang:english


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

und dirdat hat mir folgendes ausgegeben:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C413-C4D6

Verzeichnis von c:\

09.05.2007 09:52 0 dirdat.txt
09.05.2007 09:00 211 VundoFix.txt
09.05.2007 08:27 536.399.872 hiberfil.sys
09.05.2007 08:27 805.306.368 pagefile.sys
08.05.2007 22:35 398 avenger.txt
01.01.2007 21:42 0 CONFIG.SYS
01.01.2007 21:42 0 MSDOS.SYS
01.01.2007 21:42 0 IO.SYS
01.01.2007 21:42 0 AUTOEXEC.BAT
01.01.2007 21:22 211 boot.ini
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
13 Datei(en) 1.342.010.760 Bytes
0 Verzeichnis(se), 33.250.877.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C413-C4D6

Verzeichnis von C:\WINDOWS\system32

09.05.2007 08:27 13.646 wpa.dbl
09.05.2007 08:27 94.804 ikhcore.log
08.05.2007 23:31 220.040 FNTCACHE.DAT
08.05.2007 20:02 26.678 khfeddd.dll
06.05.2007 17:45 418.736 perfh009.dat
06.05.2007 17:45 70.330 perfc009.dat
06.05.2007 17:45 438.042 perfh007.dat
06.05.2007 17:45 85.624 perfc007.dat
06.05.2007 17:45 1.026.378 PerfStringBackup.INI
03.04.2007 22:48 13.511.640 MRT.exe
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 12:24 123.392 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
02.03.2007 16:22 1 vx.tll
28.02.2007 18:02 2.138.624 ntoskrnl.exe
28.02.2007 18:02 2.018.304 ntkrnlpa.exe
27.02.2007 09:43 9.857 jupdate-1.5.0_11-b03.log
18.02.2007 13:01 122.142 TZLog.log
16.02.2007 11:54 49.152 QuickTime.qts
16.02.2007 11:54 65.536 QuickTimeVR.qtx
08.02.2007 19:04 114.738 pdfmona.dll
08.02.2007 19:04 46.648 pdfmon.dll
05.02.2007 22:18 185.856 upnphost.dll
01.02.2007 21:07 51 crt_wl.cy
29.01.2007 10:58 60.416 tzchange.exe
25.01.2007 14:52 617.472 urlmon.dll
23.01.2007 21:30 546.304 hhctrl.ocx
10.01.2007 10:02 10.752 BASSMOD.dll
09.01.2007 17:32 9.132 jupdate-1.5.0_10-b03.log
09.01.2007 17:22 3.069 jupdate-1.5.0_02-b09.log
04.01.2007 20:26 5 aaefdaf_s.ocx
04.01.2007 20:26 5 edbcbbf0_s.dll
04.01.2007 15:41 664.576 wininet.dll
04.01.2007 15:41 474.624 shlwapi.dll
04.01.2007 15:41 1.494.528 shdocvw.dll
04.01.2007 15:41 39.424 pngfilt.dll
04.01.2007 15:41 532.480 mstime.dll
04.01.2007 15:40 146.432 msrating.dll
04.01.2007 15:40 448.512 mshtmled.dll
04.01.2007 15:40 3.077.632 mshtml.dll
04.01.2007 15:40 16.384 jsproxy.dll
04.01.2007 15:40 96.768 inseng.dll
04.01.2007 15:40 251.392 iepeers.dll
04.01.2007 15:40 55.808 extmgr.dll
04.01.2007 15:40 205.312 dxtrans.dll
04.01.2007 15:40 357.888 dxtmsft.dll
04.01.2007 15:40 1.056.256 danim.dll
04.01.2007 15:40 152.064 cdfview.dll
04.01.2007 15:40 1.023.488 browseui.dll
02.01.2007 18:48 13.646 wpa.bak
01.01.2007 21:45 261 $winnt$.inf
01.01.2007 21:42 2.951 CONFIG.NT
01.01.2007 21:42 16.832 amcompat.tlb
01.01.2007 21:42 23.392 nscompat.tlb
01.01.2007 21:41 488 logonui.exe.manifest
01.01.2007 21:41 488 WindowsLogon.manifest
01.01.2007 21:41 749 cdplayer.exe.manifest
01.01.2007 21:41 749 nwc.cpl.manifest
01.01.2007 21:41 749 wuaucpl.cpl.manifest
01.01.2007 21:41 749 sapi.cpl.manifest
01.01.2007 21:41 749 ncpa.cpl.manifest
01.01.2007 21:39 21.740 emptyregdb.dat
01.01.2007 21:22 0 h323log.txt


hab echt kein plan, was ich machen soll, damit das teil verschwindet..
ne kurze anleitung wäre echt klasse - ich dreh durch ;)..

gruß, niko
Seitenanfang Seitenende
09.05.2007, 11:02
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Start>Ausfuehren und kopiere rein
“C:\Dokumente und Einstellungen\niko\Desktop\Combofix.exe" /v khfeddd.dll
Klicke OK
Combofix wird starten und dein Recnhner wird neu starten (rebooten)

Poste nachher das neue logfile C:\ combofix.txt in dein folgender Bericht zuzammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
09.05.2007, 19:25
...neu hier

Themenstarter

Beiträge: 5
#3 hi.
danke schonmal für die schnelle antwort.
ich bekomme aber folgende fehlermeldung, wenn ich den text "ausführe":

"C:\Dokumente" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

was soll ich tun?
habe folgenden text in "ausführen" eingfügt:

“C:\Dokumente und Einstellungen\niko\Desktop\Combofix.exe" /v khfeddd.dll

wie gehts weiter? danke schonmal.

gruß, niko
Seitenanfang Seitenende
09.05.2007, 19:31
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 versuch es nochmal so
"%userprofile% \Desktop\Combofix.exe” /v khfeddd.dll
__________
MfG Argus
Dieser Beitrag wurde am 09.05.2007 um 21:18 Uhr von Arnold editiert.
Seitenanfang Seitenende
09.05.2007, 23:31
...neu hier

Themenstarter

Beiträge: 5
#5 hi.

also entweder bin ich wirklich zu blöd, die copy/paste-funktion auszuführen...oder es klappt wirklich nich.
ich bekomme die gleiche fehlermeldung wie zuvor.
was bewirkt denn dieser eintrag? muss ich dazu combofix irgendwo speziell installiert haben?
gibt es noch eine andre lösung für mein problem? langsam tick ich echt aus mit diesem blöden trojaner..

danke schonmal für die hilfe..aber bitte noch ein paar weitere tips ;).

gruß, niko
Seitenanfang Seitenende
10.05.2007, 09:48
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 KillAFile
Download KillAFile zum Desktop

Packe die Datei aus,und speichere sie in einem Ordner auf deinem Desktop.
Öffne den Ordner KillAFile
mach einen Doppelklick auf die Datei kill.bat.
Wähle die Option 2: "replace a file on reboot".
Wenn du die Meldung bekommst "Insert full path and filename to delete and then press enter"schreibst du rein: C:\WINDOWS\system32\khfeddd.dll
Wenn die Datei anwesend ist kommt eine Meldung um alle offene Fenster zu schliessen,
und dass der Rechner neu starten wird(reboot)

Poste ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
10.05.2007, 14:12
...neu hier

Themenstarter

Beiträge: 5
#7 hi. 1000 dank. zumindest antivir pfeift jetzt nicht mehr alle 2 sekunden, wenn ich ne anwendung öffne.
das hier kam nach dem booten:

KILLAFILE - logfile


Running from: "C:\Dokumente und Einstellungen\niko\Desktop"

Replace on reboot: C:\WINDOWS\system32\khfeddd.dll

--- Rebooting the computer ---

dummyfile C:\WINDOWS\system32\khfeddd.dll present
dummyfile C:\WINDOWS\system32\khfeddd.dll deleted


Finished!

und hier nun die hjt-daten:


Logfile of HijackThis v1.99.1
Scan saved at 14:09:35, on 10.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AE65072-5D99-4A3C-AD6F-75034E44C013} - C:\WINDOWS\system32\khfeddd.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B18F6895-E6B6-446A-9970-899109AA9431}: NameServer = 10.11.13.1
O20 - Winlogon Notify: khfeddd - khfeddd.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

muss ich denn nun noch was entfernen? wie gesagt, antivir beschwert sich nicht mehr - is der "vundo" denn noch auf meinem rechner?
gruß, niko
Seitenanfang Seitenende
10.05.2007, 15:09
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Hijack This
Schliesse alle Fenster und starte Hijack This
Klicke: 'Do a system scan only'Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {1AE65072-5D99-4A3C-AD6F-75034E44C013} - C:\WINDOWS\system32\khfeddd.dll (file missing)
O20 - Winlogon Notify: khfeddd - khfeddd.dll (file missing)


klicke: Fix checked

Entferne von:
C:\!Submit
C:\Qoobox

Dein Java software ist veraltet,download jre-6-windows-i586.exe
Srcolle runter nach "Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei "Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde,Rechner neu starten
Installiere jetzt vom Desktop aus “jre-6-windows-i586.exe”

Installiere AVG AntiSpyware
http://www.virus-protect.org/ewido.html

CleanUP
Download CleanUp
Anleitung: http://www.virus-protect.org/cleanup.html

Systemwiederherstellung
Deaktivierung und Aktivierung der Systemwiederherstellung in Windows
http://www.virus-protect.org/systemwiederherstellung.html
__________
MfG Argus
Seitenanfang Seitenende
10.05.2007, 16:07
...neu hier

Themenstarter

Beiträge: 5
#9 hallo,

soweit alles erledigt.
eine letzte frage hätt ich noch zur systemwiederherstellung:
wie genau läuft das ab? winxp im anbgesicherten modus starten..und dann?
ich kann mich nur nochmal bei ihnen bedanken..echt super service.

gruß, niko
Seitenanfang Seitenende
10.05.2007, 16:23
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Kann auch in normal modus;)
Wenn du nach 2 monate ein Problem mit dein Rechner hast kannst mit Systemwiederherstellung zurueck gehen in der Zeit z.b 8-5-2007
Dann kriegst du diesen ganze Infektionen wieder
Wenn jetzt Systemwiederherstellung deaktiviert wird verschwinden diese daten
Darum muss es auch wieder aktiviert werden.
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: