Löschung Trojaner TR/Dldr.ConHook.Gen erfolglos

#1 Hier die gewünschte Vorarbeit:

Datenbereinigung von Windows und Systemweiderherst. durchgeführt.

Dann:
ComboFix 07-06-18.2 - C:\angi und dani\download\ComboFix.exe
"Jan-Hendric" - 2007-06-25 19:32:25 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-25 to 2007-06-25 )))))))))))))))))))))))))))))))


2007-06-24 22:17 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-06-24 22:15 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-06-24 22:15 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-06-24 22:15 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-06-24 22:15 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-06-24 22:15 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-06-24 22:15 <DIR> d-------- C:\Programme\Spyware Doctor
2007-06-24 22:15 <DIR> d-------- C:\DOKUME~1\JAN-HE~1\ANWEND~1\PC Tools
2007-06-24 22:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-06-24 22:05 <DIR> d-------- C:\Programme\Google
2007-06-23 21:17 <DIR> d-------- C:\VundoFix Backups
2007-06-23 09:37 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-06-23 09:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-22 18:34 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-22 15:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-21 20:45 <DIR> d-------- C:\Programme\NoAdware5.0
2007-06-20 19:52 31,254 --------- C:\WINDOWS\system32\tuvvspo.dll
2007-06-02 20:01 299,008 --a------ C:\WINDOWS\system32\LAME_MP3.dll
2007-06-02 20:01 <DIR> d-------- C:\Programme\Lame MP3 Codec
2007-06-02 20:00 <DIR> d-------- C:\Programme\XviD
2007-06-02 19:58 770,048 --a------ C:\WINDOWS\system32\CDDBUISamsung.dll
2007-06-02 19:58 761,856 --a------ C:\WINDOWS\system32\CDDBUI.dll
2007-06-02 19:58 643,072 --a------ C:\WINDOWS\system32\CDDBControlSamsung.dll
2007-06-02 19:58 585,728 --a------ C:\WINDOWS\system32\CddbMusicIDSamsung.dll
2007-06-02 19:58 577,536 --a------ C:\WINDOWS\system32\CDDBControl.dll
2007-06-02 19:58 487,424 --a------ C:\WINDOWS\system32\CddbPlaylist2Samsung.dll
2007-06-02 19:58 262 --a------ C:\WINDOWS\system32\SNN_reg.bat
2007-06-02 19:58 249,856 --a------ C:\WINDOWS\system32\CddbPlaylistSamsung.dll
2007-06-02 19:58 225,280 --a------ C:\WINDOWS\system32\SNN_Crypto.dll
2007-06-02 19:58 147,456 --a------ C:\WINDOWS\system32\CddbCleanSamsung.dll
2007-06-02 19:58 139,264 --a------ C:\WINDOWS\system32\CddbMusicIDUISamsung.dll
2007-06-02 14:51 65,024 --a------ C:\WINDOWS\IFinst26.exe
2007-06-02 14:49 921,600 --a------ C:\WINDOWS\system32\vorbisenc.dll
2007-06-02 14:49 45,056 --a------ C:\WINDOWS\system32\ogg.dll
2007-06-02 14:49 237,568 --a------ C:\WINDOWS\system32\OggDS.dll
2007-06-02 14:49 188,416 --a------ C:\WINDOWS\system32\vorbis.dll
2007-06-02 14:49 110,592 --a------ C:\WINDOWS\system32\tg_dump.dll
2007-06-02 14:49 <DIR> d-------- C:\Programme\Samsung


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-23 11:47:08 -------- d-----w C:\Programme\MSN Messenger
2007-06-10 19:04:53 -------- d-----w C:\DOKUME~1\JAN-HE~1\ANWEND~1\DVD Shrink
2007-06-02 17:58:07 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 18:12:06 -------- d-----w C:\DOKUME~1\JAN-HE~1\ANWEND~1\Screenshot Sender
2007-05-01 08:52:49 -------- d-----w C:\DOKUME~1\JAN-HE~1\ANWEND~1\GMX
2007-05-01 08:52:18 -------- d-----w C:\Programme\GMX
2007-05-01 08:50:06 10,245,392 ----a-w C:\Programme\gmx_multimessenger.exe
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-25 07:45:55 65,470 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 07:45:55 396,012 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll [2007-06-24 22:13]
{DC192567-65F9-4AB6-ADB7-E13575F81726}=C:\WINDOWS\system32\tuvvspo.dll [2007-06-20 19:52]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PE2CKFNT SE"="C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 12:51]
"LyraPJProfiler"="C:\Programme\Thomson Multimedia\Thomson Lyra Personal Jukebox\Profiler\LYRAHDDProfilerTrayApp.exe" [2002-07-18 09:35]
"UFD Monitor"="C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe" [2002-11-28 14:41]
"UFD Utility"="C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe" [2002-12-04 10:37]
"atwtusb"="atwtusb.exe" [2000-11-14 09:26 C:\WINDOWS\system32\atwtusb.exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-05-04 17:21]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-06-23 21:20]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 12:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 21:52]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-15 16:09]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 19:13 C:\WINDOWS\SOUNDMAN.EXE]
"YeppStudioAgent"="C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe" []
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2006-12-03 14:19]
"@"="" []
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-05-17 12:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.exe" [2007-01-22 12:49]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"FlashPlayerUpdate"=C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{DC192567-65F9-4AB6-ADB7-E13575F81726}"="C:\WINDOWS\system32\tuvvspo.dll" [2007-06-20 19:52]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvspo]
tuvvspo.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]


Contents of the 'Scheduled Tasks' folder
2007-06-25 16:45:43 C:\WINDOWS\tasks\XoftSpySE 2.job
2007-06-25 16:45:42 C:\WINDOWS\tasks\XoftSpySE.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-25 19:36:42
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-25 19:39:32
C:\ComboFix-quarantined-files.txt ... 2007-06-25 19:39
C:\ComboFix2.txt ... 2007-06-24 21:39
C:\ComboFix3.txt ... 2007-06-24 20:53

--- E O F ---

Das Hijackthis-Logfiles, hab ich oben schon mal auswerten lassen, wußte da nicht weiter, hier nochmal Kopie:

Logfile of HijackThis v1.99.1
Scan saved at 19:43:43, on 25.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Thomson Multimedia\Thomson Lyra Personal Jukebox\Profiler\LYRAHDDProfilerTrayApp.exe
C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe
C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\angi und dani\download\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\tuvvspo.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [LyraPJProfiler] "C:\Programme\Thomson Multimedia\Thomson Lyra Personal Jukebox\Profiler\LYRAHDDProfilerTrayApp.exe"
O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.alice-dsl.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp08.photoprintit.de/microsite/1773/defaults/activex/IPSUploader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: tuvvspo - C:\WINDOWS\SYSTEM32\tuvvspo.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe


nun noch die 6 erstellten Textdateien:

Datentr„ger in Laufwerk C: ist 420682
Volumeseriennummer: FCC6-4206

Verzeichnis von C:\WINDOWS\system32

25.06.2007 19:43 73.058 iklog.log
25.06.2007 18:27 1.158 wpa.dbl
20.06.2007 19:52 31.254 tuvvspo.dll
06.06.2007 08:38 15.747.032 MRT.exe
03.06.2007 13:09 2.529 TG_PVTR.LOG
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 10:59 3.583.488 mshtml.dll
25.04.2007 16:22 144.896 schannel.dll
25.04.2007 09:42 822.784 wininet.dll
25.04.2007 09:42 232.960 webcheck.dll
25.04.2007 09:42 1.152.000 urlmon.dll
25.04.2007 09:42 670.720 mstime.dll
25.04.2007 09:42 105.984 url.dll
25.04.2007 09:42 102.400 occache.dll
25.04.2007 09:42 193.024 msrating.dll
25.04.2007 09:42 477.696 mshtmled.dll
25.04.2007 09:41 459.264 msfeeds.dll
25.04.2007 09:41 52.224 msfeedsbs.dll
25.04.2007 09:41 27.648 jsproxy.dll
25.04.2007 09:41 1.824.768 inetcpl.cpl
25.04.2007 09:41 267.776 iertutil.dll
25.04.2007 09:41 6.058.496 ieframe.dll
25.04.2007 09:41 44.544 iernonce.dll
25.04.2007 09:41 384.512 iedkcs32.dll
25.04.2007 09:41 383.488 ieapfltr.dll
25.04.2007 09:41 153.088 ieakeng.dll
25.04.2007 09:41 124.928 advpack.dll
25.04.2007 09:41 132.608 extmgr.dll
25.04.2007 09:41 230.400 ieaksie.dll
24.04.2007 16:26 13.824 ieudinit.exe
24.04.2007 11:58 56.832 ie4uinit.exe
24.04.2007 09:34 161.792 ieakui.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 17:53 1.058.304 kernel32.dll
04.04.2007 20:02 776.448 FNTCACHE.DAT
02.04.2007 14:21 428.032 swreg.exe
25.03.2007 09:45 54.280 perfc009.dat
25.03.2007 09:45 384.596 perfh009.dat
25.03.2007 09:45 396.012 perfh007.dat
25.03.2007 09:45 65.470 perfc007.dat
25.03.2007 09:45 911.074 PerfStringBackup.INI
17.03.2007 15:45 293.376 winsrv.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:48 579.584 user32.dll
08.03.2007 17:48 282.112 gdi32.dll
08.03.2007 17:48 40.960 mf3216.dll
08.03.2007 17:45 1.844.096 win32k.sys


Datentr„ger in Laufwerk C: ist 420682
Volumeseriennummer: FCC6-4206

Verzeichnis von C:\DOKUME~1\JAN-HE~1\LOKALE~1\Temp

25.06.2007 19:39 7.948 log.txt
25.06.2007 18:28 16.384 ~DF52EA.tmp
2 Datei(en) 24.332 Bytes
0 Verzeichnis(se), 123.899.154.432 Bytes frei

Datentr„ger in Laufwerk C: ist 420682
Volumeseriennummer: FCC6-4206

Verzeichnis von C:\WINDOWS

25.06.2007 19:25 219.509 setupact.log
25.06.2007 18:27 0 0.log
25.06.2007 18:27 159 wiadebug.log
25.06.2007 18:26 1.742.334 WindowsUpdate.log
25.06.2007 18:26 50 wiaservc.log
25.06.2007 18:26 2.048 bootstat.dat
25.06.2007 18:25 32.622 SchedLgU.Txt
24.06.2007 22:15 124 SpywareDoctor5Install.log
24.06.2007 21:56 886 SpywareDoctor5Uninstall.log
20.06.2007 19:52 4 windebug.log
18.06.2007 17:18 303.755 setupapi.log
13.06.2007 21:34 296.895 comsetup.log
13.06.2007 21:34 138.791 iis6.log
13.06.2007 21:34 1.374 imsins.log
13.06.2007 21:34 178.751 ntdtcsetup.log
13.06.2007 21:34 339.473 tsoc.log
13.06.2007 21:34 47.651 ocmsn.log
13.06.2007 21:34 20.804 KB929123.log
13.06.2007 21:34 422.719 ocgen.log
13.06.2007 21:34 43.235 msgsocm.log
13.06.2007 21:34 885.639 FaxSetup.log
13.06.2007 21:34 1.374 imsins.BAK
13.06.2007 21:34 20.104 KB935840.log
13.06.2007 21:33 19.819 KB935839.log
13.06.2007 21:33 25.477 KB933566-IE7.log
13.06.2007 21:32 119.055 updspapi.log
05.06.2007 05:24 87.552 catchme.exe
03.06.2007 19:21 81.403 wmsetup.log
03.06.2007 14:16 116 NeroDigital.ini
03.06.2007 14:13 920 win.ini
02.06.2007 20:00 65.024 IFinst26.exe
01.06.2007 16:49 36.363 CSTBox.INI
23.05.2007 07:33 9.963 KB927891.log
10.05.2007 20:54 18.657 KB931768-IE7.log
10.05.2007 20:53 14.596 KB930916.log
11.04.2007 15:33 26.624 KB931784.log
11.04.2007 15:33 16.660 KB931261.log
11.04.2007 15:33 21.287 KB930178.log
11.04.2007 15:33 20.937 KB932168.log
03.04.2007 22:20 20.128 KB925902.log
17.03.2007 18:49 578 ULEAD32.INI
16.03.2007 09:51 8.705 KB929399.log
16.03.2007 09:50 20.284 KB929338.log
07.03.2007 19:32 9.140 wizard.log
07.03.2007 18:26 516 MAXLINK.INI
07.03.2007 17:48 666 KB829558.log
07.03.2007 17:47 15.062 KB893803v2.log
07.03.2007 17:46 121 GEARInstall.log

Datentr„ger in Laufwerk C: ist 420682
Volumeseriennummer: FCC6-4206

Verzeichnis von C:\WINDOWS\temp


Datentr„ger in Laufwerk C: ist 420682
Volumeseriennummer: FCC6-4206

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.12.2006 17:44 367 LegitCheckControl.inf
22.06.2006 11:41 5.032 swflash.inf
11.04.2006 13:07 1.939.056 IPSUploader.ocx
11.04.2006 13:06 322 IPSUploader.inf
01.01.2000 13:18 65 desktop.ini
5 Datei(en) 1.944.842 Bytes
0 Verzeichnis(se), 123.899.027.456 Bytes frei

Datentr„ger in Laufwerk C: ist 420682
Volumeseriennummer: FCC6-4206

Verzeichnis von C:\

25.06.2007 19:48 0 sys.txt
25.06.2007 19:48 504 down.txt
25.06.2007 19:47 110 tmp.txt
25.06.2007 19:47 14.455 system.txt
25.06.2007 19:47 334 systemtemp.txt
25.06.2007 19:46 106.009 system32.txt
25.06.2007 19:39 7.948 ComboFix.txt
25.06.2007 19:39 363 ComboFix-quarantined-files.txt
25.06.2007 18:29 1.602 Alice Einwahlassistent.lnk
25.06.2007 18:28 0 usb2scsi.txt
25.06.2007 18:26 527.486.976 hiberfil.sys
25.06.2007 18:26 390.070.272 pagefile.sys
24.06.2007 21:39 7.602 ComboFix2.txt
24.06.2007 21:21 1.050 VundoFix.txt
24.06.2007 20:53 7.602 ComboFix3.txt
23.06.2007 21:42 398 avenger.txt
22.06.2007 21:01 3.479 c.txt
06.06.2007 20:33 1.544.562 Unbenannt.bmp
02.06.2007 14:51 681.728 cddbplm.gcf
02.06.2007 14:51 308.736 cddbplm.lsf
02.06.2007 14:51 768 cddbplm.idx
02.06.2007 14:51 768 cddbplm.pdb
04.03.2007 20:43 268 sqmdata13.sqm
04.03.2007 20:43 244 sqmnoopt13.sqm
04.03.2007 16:56 268 sqmdata12.sqm
04.03.2007 16:56 244 sqmnoopt12.sqm


Ich kann den Virus nicht löschen Antivir gibt mir ständig den Fund bekannt, Löschung und in Quarantäne funktioniert nicht.

Er ist in C:\WINDOWS\system32\tuvvspo.dll

Auch das Programm Spywarefighter findet das Programm, dann geht aber nur erneut das Fundfenster von Antivir auf und Löschung dort geht ja nicht.
Das gleiche bei vundofix.

Was kann ich tun??

Ich bitte um Hilfestellung.

Danke im vorraus
Chlaus

#2 Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\tuvvspo.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O20 - Winlogon Notify: tuvvspo - C:\WINDOWS\SYSTEM32\tuvvspo.dll

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne auf C:\VundoFix Backups Papierkorb leeren

Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\SYSTEM32\tuvvspo.dll

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 Danke für Antwort.

Ich habe Fix Checked geklickt nach Häkchensetzung.

hab bei entsprechendem C Papierkorb entleert.

Ich kann OTMovelt nich zum Desktop downloaden. Wenn ich drauf klicke, steht nur Abbrechen zur Verfügung. Möchten Sie Datei herunterladen auf Festplatte ist grau.
Ich finde auch durch Eingabe von http://download.bleepingcomputer.com, (was ja dort angegben ist) nicht im Internet geöffnet, um von dort downzuloaden.

Wie kann ich es downloaden??, um den Rest durchzuführen?

#4 Sorry, bin eingentlich Computeranfänger.

nochmal zu OT Movelt: habe anderen Internetbrowser benutzt. Konnte so den Download durchführen und OT Movelt öffnen. Im linken Fester unter Paste List of Files... ist die Datei C:\Windows\System32\tuvvspo.dll aber nicht. Das Feld ist leer. Also kann ich es nicht mit CTRL-C kopieren. Oder muß ich es von C aus hier hineinkopieren?

Zur neuen Anweisung von 11:10 Uhr:
Welchen folgenden Text soll ich in den Editor kopieren?
Oder soll ich es nun lassen, da ich OT downgeloaded hab. Aber wie gehts nun weiter?

#5 C:\WINDOWS\SYSTEM32\tuvvspo.dll

Mit deine Mausanweisser von links nach rechts blau machen(selektieren),rechts klick,kopieren und in das linke Fenster vom Moveit wieder mit rechtermaustaste rein plazieren
__________
MfG Argus

#6 So hab nun in OT Movelt!knopf gedrückt , Hier der log:

LoadLibrary failed for C:\WINDOWS\SYSTEM32\tuvvspo.dll
C:\WINDOWS\SYSTEM32\tuvvspo.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\tuvvspo.dll scheduled to be moved on reboot.

Created on 06.26.2007 11:40:43

Ich hab gemäß Anweisung vom Programm auch einen Neustart gemacht.

#7 Starte mal neu
Und suche tuvvspo.dll ob er noch da ist
__________
MfG Argus

#8 Ich hab einen Neustart gemacht.

Fundhinweis von Antivir weiterhin da.

Wenn ich gucke unter C:\Windows\System32 ist er auch noch da.

#9 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als ComboFix-Do.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

File::
C:\WINDOWS\SYSTEM32\tuvvspo.dll

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvspo]

2.
Sleppe diese Datei zum ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix und ein log
von Hijack This


__________
MfG Argus

#10 zunächst das log von combofix:

ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Jan-Hendric\Desktop\ComboFix.exe
"Jan-Hendric" - 2007-06-26 15:12:26 - Service Pack 2 NTFS
Command switches used :: C:\Dokumente und Einstellungen\Jan-Hendric\Desktop\ComboFix-Do.txt


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\SYSTEM32\tuvvspo.dll


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-24 22:17 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-06-24 22:15 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-06-24 22:15 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-06-24 22:15 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-06-24 22:15 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-06-24 22:15 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-06-24 22:15 <DIR> d-------- C:\Programme\Spyware Doctor
2007-06-24 22:15 <DIR> d-------- C:\DOKUME~1\JAN-HE~1\ANWEND~1\PC Tools
2007-06-24 22:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google Updater
2007-06-24 22:05 <DIR> d-------- C:\Programme\Google
2007-06-23 21:17 <DIR> d-------- C:\VundoFix Backups
2007-06-23 09:37 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-06-23 09:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-22 18:34 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-22 15:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-21 20:45 <DIR> d-------- C:\Programme\NoAdware5.0
2007-06-02 20:01 299,008 --a------ C:\WINDOWS\system32\LAME_MP3.dll
2007-06-02 20:01 <DIR> d-------- C:\Programme\Lame MP3 Codec
2007-06-02 20:00 <DIR> d-------- C:\Programme\XviD
2007-06-02 19:58 770,048 --a------ C:\WINDOWS\system32\CDDBUISamsung.dll
2007-06-02 19:58 761,856 --a------ C:\WINDOWS\system32\CDDBUI.dll
2007-06-02 19:58 643,072 --a------ C:\WINDOWS\system32\CDDBControlSamsung.dll
2007-06-02 19:58 585,728 --a------ C:\WINDOWS\system32\CddbMusicIDSamsung.dll
2007-06-02 19:58 577,536 --a------ C:\WINDOWS\system32\CDDBControl.dll
2007-06-02 19:58 487,424 --a------ C:\WINDOWS\system32\CddbPlaylist2Samsung.dll
2007-06-02 19:58 262 --a------ C:\WINDOWS\system32\SNN_reg.bat
2007-06-02 19:58 249,856 --a------ C:\WINDOWS\system32\CddbPlaylistSamsung.dll
2007-06-02 19:58 225,280 --a------ C:\WINDOWS\system32\SNN_Crypto.dll
2007-06-02 19:58 147,456 --a------ C:\WINDOWS\system32\CddbCleanSamsung.dll
2007-06-02 19:58 139,264 --a------ C:\WINDOWS\system32\CddbMusicIDUISamsung.dll
2007-06-02 14:51 65,024 --a------ C:\WINDOWS\IFinst26.exe
2007-06-02 14:49 921,600 --a------ C:\WINDOWS\system32\vorbisenc.dll
2007-06-02 14:49 45,056 --a------ C:\WINDOWS\system32\ogg.dll
2007-06-02 14:49 237,568 --a------ C:\WINDOWS\system32\OggDS.dll
2007-06-02 14:49 188,416 --a------ C:\WINDOWS\system32\vorbis.dll
2007-06-02 14:49 110,592 --a------ C:\WINDOWS\system32\tg_dump.dll
2007-06-02 14:49 <DIR> d-------- C:\Programme\Samsung


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-25 18:30:47 -------- d-----w C:\DOKUME~1\JAN-HE~1\ANWEND~1\GMX
2007-06-25 18:30:28 -------- d-----w C:\Programme\GMX
2007-06-23 11:47:08 -------- d-----w C:\Programme\MSN Messenger
2007-06-10 19:04:53 -------- d-----w C:\DOKUME~1\JAN-HE~1\ANWEND~1\DVD Shrink
2007-06-02 17:58:07 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 18:12:06 -------- d-----w C:\DOKUME~1\JAN-HE~1\ANWEND~1\Screenshot Sender
2007-05-01 08:50:06 10,245,392 ----a-w C:\Programme\gmx_multimessenger.exe
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll [2007-06-24 22:13]
{DC192567-65F9-4AB6-ADB7-E13575F81726}=C:\WINDOWS\system32\tuvvspo.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PE2CKFNT SE"="C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe" [1998-07-03 12:51]
"LyraPJProfiler"="C:\Programme\Thomson Multimedia\Thomson Lyra Personal Jukebox\Profiler\LYRAHDDProfilerTrayApp.exe" [2002-07-18 09:35]
"UFD Monitor"="C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe" [2002-11-28 14:41]
"UFD Utility"="C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe" [2002-12-04 10:37]
"atwtusb"="atwtusb.exe" [2000-11-14 09:26 C:\WINDOWS\system32\atwtusb.exe]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2005-05-04 17:21]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-06-23 21:20]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 12:00]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 21:52]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-15 16:09]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 19:13 C:\WINDOWS\SOUNDMAN.EXE]
"YeppStudioAgent"="C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe" []
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2006-12-03 14:19]
"@"="" []
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-05-17 12:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"FlashPlayerUpdate"=C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{DC192567-65F9-4AB6-ADB7-E13575F81726}"="C:\WINDOWS\system32\tuvvspo.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvspo]
tuvvspo.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]


Contents of the 'Scheduled Tasks' folder
2007-06-26 13:19:57 C:\WINDOWS\tasks\XoftSpySE 2.job
2007-06-25 16:45:42 C:\WINDOWS\tasks\XoftSpySE.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 15:20:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 15:23:06 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-26 15:22
C:\ComboFix2.txt ... 2007-06-25 19:39
C:\ComboFix3.txt ... 2007-06-24 21:39

--- E O F ---

nun noch ein neues vonHijack This:

Logfile of HijackThis v1.99.1
Scan saved at 15:30:56, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Thomson Multimedia\Thomson Lyra Personal Jukebox\Profiler\LYRAHDDProfilerTrayApp.exe
C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe
C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Jan-Hendric\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\tuvvspo.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [LyraPJProfiler] "C:\Programme\Thomson Multimedia\Thomson Lyra Personal Jukebox\Profiler\LYRAHDDProfilerTrayApp.exe"
O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.alice-dsl.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp08.photoprintit.de/microsite/1773/defaults/activex/IPSUploader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: tuvvspo - tuvvspo.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

Antivir öffnet mir kein Fenster mehr, dass er den Fund vom Virus hat.

Heißt das, es ist endlich entfernt?

Soll ich noch irgendwelche gespeicherten logs oder so löschen?

#11 Entferne auf C:\
Qoobox
VundoFix Backups

Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {DC192567-65F9-4AB6-ADB7-E13575F81726} - C:\WINDOWS\system32\tuvvspo.dll (file missing)
O20 - Winlogon Notify: tuvvspo - tuvvspo.dll (file missing)

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren

Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm

Tip:
AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm
__________
MfG Argus

#12 Ich habe alles befolgt,

auch Antivir eingestellt und

AVG Anti spyware durchlaufen lassen, dortiges mit Quarantäne gewählt.

Nun noch 3 Fragen:

1.
Warum soll bei diesem Programm AVG denn die Einstellung Resident Shield und automatisches Update inaktiv sein? Damit schützt es doch nicht. Oder soll ich es nun nach dem manuellen Scandurchlauf auf aktiv setzen?
2.
Sollte ich statt der Windows Firewall eine andere nutzen, welche wäre zu empfehlen?
3.
Ich hab ja die letzten Tage einiges schon probiert. Dabei hat ein Programm no adware folgendes gefunden:
item : BazookaBar, Location: HKEY_LOCAL_MACHINE\SOFTWARE.
Man konnte es aber nur zeigen, nicht entfernen mit dem Programm for free.
Sonst hat kein Programm je so was gefunden und es taucht nicht störend auf.
Sollte ich da noch was unternehmen?

#13 1.AVG die Ersten 30 Tage kommen die Updates automatisch danach muss man es selber tun
Resident Shield warum inaktiv weil Leute sehr schnell vergessen was man gemacht hat
Es gibt mehrere Programme die alle ein Shield benutzen
Spybot s&d(Teatimer)
Ad-Aware (Ad-Watch)
Spywareguard
Windows Defender
TrojanHunter Guard
SpySweeper
CounterSpy usw
Und mehrere Spyware scanner sind erlaubt!
2.es gibt ZoneAlarm,Sunbelt Kerio,Outpost,Comodo Free Firewall alles Free
3.No Adware findet eine "false positive"das heisst ich finde etwas was nicht da ist" Verkauf trick
__________
MfG Argus

#14 Dann setze ich den Resident Shield also auf aktiv, mach mir einen Vermerk.
.. und downloade evt. noch einen weiteren genannten Scanner...und nehme eine andere Firewall.

Wenn nichts gegen aktiv bei AVG spricht, endet hier wohl unser Austausch.


Vielen Dank für die grandiose Unterstützung!!! Ich bin absolut begeistert.

#15 Hallo,

da ich kein neues Thema erstellen will, zu einem schon längst bekannten Problem, werde ich es einfach hier posten.

Ich habe in etwa das selbe Problem wie alle hier die einen "ConHook" Trojaner haben. Antivir warnt ständig davor sobald ich etwas auf meinem PC ausführen will. Infiziert ist bei mir anscheinend die "cbxvvwt.dll" im system32 Ordner.

Ich bin nicht wirklich gut in solchen Dingen daher benötige ich drigend Hilfe.
Ich nutze, falls das notwendig sein sollte, übrigens noch Windows 2000 mit Service Pack 4.

Ausserdem ist hier der Aktuelleste HijackThis-Report.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:17, on 28.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\Programme\AMD\Cool'n'Quiet\gemback.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINNT\system32\internat.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\florian\Desktop\HiJackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3CD29A63-4E54-40C2-8270-9F70BB7EC063} - C:\WINNT\system32\mlljh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {86C77A3D-7EF1-4B9A-98C6-35D24D051DE6} - C:\WINNT\system32\cbxvvwt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\florian\Desktop\DESKTOPKRAM\msconfig_w2k\msconfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181161470093
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: cbxvvwt - C:\WINNT\SYSTEM32\cbxvvwt.dll
O20 - Winlogon Notify: mlljh - C:\WINNT\system32\mlljh.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7379 bytes



Vielen Dank schonmal für eure Hilfe.