Trojaner con Hook.Gen in Windows System32 xxyvttq.dll

#1 "Administrator" - 2007-07-03 0:08:01 - ComboFix 07-06-27.7 - Service Pack 1 NTFS [SAFE MODE]


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\knnmp.bak1
C:\WINDOWS\system32\knnmp.bak2
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\knnmp.ini2
C:\WINDOWS\system32\knnmp.tmp
C:\WINDOWS\system32\knnmp.bak1
C:\WINDOWS\system32\knnmp.bak2
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\knnmp.ini2
C:\WINDOWS\system32\knnmp.tmp
C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\xxyvttq.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\xxyvttq.dll

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\winupdates
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\3_exception.nls
C:\WINDOWS\system32\auoyfqya.exe
C:\WINDOWS\system32\drivers\asc3550u.sys
C:\WINDOWS\system32\drivers\secdrv.sys
C:\WINDOWS\system32\kjblwhjw.exe
C:\WINDOWS\system32\mpgusgrt.exe
C:\WINDOWS\system32\ntrpxlxc.exe
C:\WINDOWS\system32\oscuvlin.exe
C:\WINDOWS\system32\shmykggu.exe
C:\WINDOWS\system32\tlgdeixq.exe
C:\WINDOWS\system32\tvtbtawy.exe
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\wr.txt


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_ASC3550U
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\asc3550u
-------\DomainService
-------\runtime


((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))


2007-07-03 00:06 66,112 --a------ C:\WINDOWS\system32\vylxbexb.dll
2007-07-03 00:04 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 21:57 128,576 --a------ C:\WINDOWS\system32\boqensdo.dll
2007-07-02 21:39 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-02 21:39 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-02 21:39 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-02 21:39 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-02 21:39 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-02 21:39 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-02 21:39 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-02 21:39 <DIR> d-------- C:\Programme\Alwil Software
2007-07-02 21:33 <DIR> d-------- C:\Programme\a-squared HiJackFree
2007-07-02 21:28 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM
2007-07-02 21:02 128,576 --a------ C:\WINDOWS\system32\postgvsd.dll
2007-07-02 19:47 128,576 --a------ C:\WINDOWS\system32\eufstiki.dll
2007-07-02 19:41 128,576 --a------ C:\WINDOWS\system32\ewopdglb.dll
2007-07-02 19:26 128,576 --a------ C:\WINDOWS\system32\uacrbxwg.dll
2007-07-02 19:18 128,576 --a------ C:\WINDOWS\system32\epvdswdi.dll
2007-07-02 19:11 128,576 --a------ C:\WINDOWS\system32\etwmnega.dll
2007-07-02 19:08 4,672 --a------ C:\WINDOWS\system32\npbuathl.exe
2007-07-02 19:08 33,536 --a------ C:\WINDOWS\system32\drivers\runtime2.sys
2007-07-02 19:08 128,576 --a------ C:\WINDOWS\system32\nskmgsun.dll
2007-07-02 19:00 128,576 --a------ C:\WINDOWS\system32\lnijgasg.dll
2007-07-02 18:16 2,624 --a------ C:\WINDOWS\system32\janjqdlp.exe
2007-07-02 18:13 128,576 --a------ C:\WINDOWS\system32\ebpigfde.dll
2007-07-02 17:55 122,944 --a------ C:\WINDOWS\system32\tbyorvnl.exe
2007-06-30 21:17 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-30 21:01 <DIR> d-------- C:\SAV32CLI
2007-06-30 20:24 <DIR> d-------- C:\Programme\Neuer Ordner
2007-06-30 19:17 <DIR> d-------- C:\Programme\Trojancheck 6
2007-06-30 13:50 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Lavasoft
2007-06-30 13:46 1,048,576 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-30 13:46 0 --ah----- C:\DOKUME~1\ADMINI~1\hpothb07.dat
2007-06-30 13:46 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\WINDOWS
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\InterVideo
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
2007-06-30 10:22 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-06-30 00:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-30 00:22 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-06-29 22:02 266,336 --------- C:\WINDOWS\system32\pmnnk.dll
2007-06-29 21:59 32,330 --a------ C:\gghdwaq.exe
2007-06-29 21:59 19,968 --a------ C:\qcwrp.exe
2007-06-29 21:58 32,584 --------- C:\ynudp.exe
2007-06-29 21:57 31,254 --------- C:\WINDOWS\system32\xxyvttq.dll
2007-06-29 08:33 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-06-23 16:15 <DIR> d-------- C:\Programme\WRPSoft
2007-06-08 11:52 947,096 --a------ C:\WINDOWS\system32\_ISource30.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-04-22 16:13:55 77,312 ----a-w C:\WINDOWS\system32\LxrSG20s.exe
2007-04-22 16:13:55 503 ----a-w C:\WINDOWS\system32\LxrCleanup.bat
2007-04-22 16:13:55 274,432 ----a-w C:\WINDOWS\system32\LxrSG20.dll
2007-04-22 16:13:55 200,704 ----a-w C:\WINDOWS\system32\LxrConfig.exe
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{02D4C472-681E-45B8-A250-B2F90435030B}=C:\WINDOWS\System32\pmnnk.dll [2007-06-29 22:02]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 03:23]
{A6807262-1D7A-44AB-947B-23B71E97915C}=C:\WINDOWS\system32\xxyvttq.dll [2007-06-30 20:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 13:35]
"Cmaudio"="cmicnfg.dll" []
"Disk Monitor"="C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" [2003-06-18 12:57]
"FastTVSync"="C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" [2003-09-08 03:33]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 10:42]
"SS1HelperStartUp"="C:\PROGRA~1\SEASID~1\SS1HEL~1.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 10:46]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 11:54]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-03-02 16:24]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52]
"@"="" []
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [2002-11-14 17:23]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-02 14:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-08-20 16:08]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec Network Driver Update Warning"=C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A6807262-1D7A-44AB-947B-23B71E97915C}"="C:\WINDOWS\system32\xxyvttq.dll" [2007-06-30 20:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnk]
C:\WINDOWS\System32\pmnnk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwea32]
winwea32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvttq]
xxyvttq.dll

*Newly Created Service* - AAVMKER4
*Newly Created Service* - AVAST!_MAIL_SCANNER
*Newly Created Service* - AVAST!_WEB_SCANNER

Contents of the 'Scheduled Tasks' folder
2007-06-24 15:13:04 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-30 09:36:13 C:\WINDOWS\tasks\Symantec NetDetect.job

Logfile of HijackThis v1.99.1
Scan saved at 00:18, on 2007-07-03
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.734\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chiligreen.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SS1HelperStartUp] C:\PROGRA~1\SEASID~1\SS1HEL~1.EXE /partner SS1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\System32\xioxogrf.dll",forkonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.chiligreen.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/246962ce93730e3f6019/netzip/RdxIE601_de.cab
O16 - DPF: {D095AD14-25C9-11D4-A639-00E018904E2A} (DownLoadAssist Control) - https://www.ausschreibung.at/DownlAss.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.easyaccesssite.com/11395-77.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8B181E9-B5C7-4E9A-B0AC-AE754E0C580D}: NameServer = 213.33.99.70,80.120.17.70
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lexar SG20 (LxrSG20s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrSG20s.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

Danke!!

#2 Oeffne notepad und kopiere folgendes, zwischen den ---cut---, dort hinein:

---cut---
File::
C:\WINDOWS\system32\vylxbexb.dll
C:\WINDOWS\system32\boqensdo.dll
C:\WINDOWS\system32\postgvsd.dll
C:\WINDOWS\system32\eufstiki.dll
C:\WINDOWS\system32\ewopdglb.dll
C:\WINDOWS\system32\uacrbxwg.dll
C:\WINDOWS\system32\epvdswdi.dll
C:\WINDOWS\system32\etwmnega.dll
C:\WINDOWS\system32\npbuathl.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\nskmgsun.dll
C:\WINDOWS\system32\lnijgasg.dll
C:\WINDOWS\system32\janjqdlp.exe
C:\WINDOWS\system32\ebpigfde.dll
C:\WINDOWS\system32\tbyorvnl.exe
C:\WINDOWS\system32\pmnnk.dll
C:\gghdwaq.exe
C:\qcwrp.exe
C:\ynudp.exe
C:\WINDOWS\system32\xxyvttq.dll
---cut---

Diese Datei bitte als ComboFix-Do.txt in den selben Ordner wie Combofix kopieren und dann die TXT Datei auf die combofix "droppen"



Dann bitte das erstellte Log posten.
__________
MfG Ralf
SEO-Spam Hunter

#3 HAllo Raman

Hir die neue Datei

"Administrator" - 2007-07-03 17:21:13 - ComboFix 07-06-27.7 - Service Pack 1 NTFS [SAFE MODE]
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix-Do.txt


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\knnmp.bak1
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\knnmp.bak1
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\xxyvttq.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\xxyvttq.dll

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\drivers\runtime2.sys


((((((((((((((((((((((((( Files Created from 2007-06-03 to 2007-07-03 )))))))))))))))))))))))))))))))


2007-07-03 00:20 66,112 --a------ C:\WINDOWS\system32\lpffbgnh.dll
2007-07-03 00:17 128,576 --a------ C:\WINDOWS\system32\xioxogrf.dll
2007-07-03 00:06 66,112 --a------ C:\WINDOWS\system32\vylxbexb.dll
2007-07-03 00:04 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 21:57 128,576 --a------ C:\WINDOWS\system32\boqensdo.dll
2007-07-02 21:39 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-02 21:39 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-02 21:39 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-02 21:39 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-02 21:39 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-02 21:39 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-02 21:39 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-02 21:39 <DIR> d-------- C:\Programme\Alwil Software
2007-07-02 21:33 <DIR> d-------- C:\Programme\a-squared HiJackFree
2007-07-02 21:28 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM
2007-07-02 21:02 128,576 --a------ C:\WINDOWS\system32\postgvsd.dll
2007-07-02 19:47 128,576 --a------ C:\WINDOWS\system32\eufstiki.dll
2007-07-02 19:41 128,576 --a------ C:\WINDOWS\system32\ewopdglb.dll
2007-07-02 19:26 128,576 --a------ C:\WINDOWS\system32\uacrbxwg.dll
2007-07-02 19:18 128,576 --a------ C:\WINDOWS\system32\epvdswdi.dll
2007-07-02 19:11 128,576 --a------ C:\WINDOWS\system32\etwmnega.dll
2007-07-02 19:08 4,672 --a------ C:\WINDOWS\system32\npbuathl.exe
2007-07-02 19:08 128,576 --a------ C:\WINDOWS\system32\nskmgsun.dll
2007-07-02 19:00 128,576 --a------ C:\WINDOWS\system32\lnijgasg.dll
2007-07-02 18:16 2,624 --a------ C:\WINDOWS\system32\janjqdlp.exe
2007-07-02 18:13 128,576 --a------ C:\WINDOWS\system32\ebpigfde.dll
2007-07-02 17:55 122,944 --a------ C:\WINDOWS\system32\tbyorvnl.exe
2007-06-30 21:17 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-30 21:01 <DIR> d-------- C:\SAV32CLI
2007-06-30 20:24 <DIR> d-------- C:\Programme\Neuer Ordner
2007-06-30 19:17 <DIR> d-------- C:\Programme\Trojancheck 6
2007-06-30 13:50 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Lavasoft
2007-06-30 13:46 1,048,576 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-30 13:46 0 --ah----- C:\DOKUME~1\ADMINI~1\hpothb07.dat
2007-06-30 13:46 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\WINDOWS
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\InterVideo
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
2007-06-30 10:22 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-06-30 00:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-30 00:22 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-06-29 22:02 266,336 --------- C:\WINDOWS\system32\pmnnk.dll
2007-06-29 21:59 32,330 --a------ C:\gghdwaq.exe
2007-06-29 21:59 19,968 --a------ C:\qcwrp.exe
2007-06-29 21:58 32,584 --------- C:\ynudp.exe
2007-06-29 21:57 31,254 --------- C:\WINDOWS\system32\xxyvttq.dll
2007-06-29 08:33 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-06-23 16:15 <DIR> d-------- C:\Programme\WRPSoft
2007-06-08 11:52 947,096 --a------ C:\WINDOWS\system32\_ISource30.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-04-22 16:13:55 77,312 ----a-w C:\WINDOWS\system32\LxrSG20s.exe
2007-04-22 16:13:55 503 ----a-w C:\WINDOWS\system32\LxrCleanup.bat
2007-04-22 16:13:55 274,432 ----a-w C:\WINDOWS\system32\LxrSG20.dll
2007-04-22 16:13:55 200,704 ----a-w C:\WINDOWS\system32\LxrConfig.exe
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 03:23]
{A6807262-1D7A-44AB-947B-23B71E97915C}=C:\WINDOWS\system32\xxyvttq.dll [2007-06-30 20:55]
{F0ED9494-EA10-480C-AFA9-79A9B783AC03}=C:\WINDOWS\System32\pmnnk.dll [2007-06-29 22:02]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 13:35]
"Cmaudio"="cmicnfg.dll" []
"Disk Monitor"="C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" [2003-06-18 12:57]
"FastTVSync"="C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" [2003-09-08 03:33]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 10:42]
"SS1HelperStartUp"="C:\PROGRA~1\SEASID~1\SS1HEL~1.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 10:46]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 11:54]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-03-02 16:24]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52]
"@"="" []
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [2002-11-14 17:23]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-02 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec Network Driver Update Warning"=C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A6807262-1D7A-44AB-947B-23B71E97915C}"="C:\WINDOWS\system32\xxyvttq.dll" [2007-06-30 20:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnk]
C:\WINDOWS\System32\pmnnk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwea32]
winwea32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvttq]
xxyvttq.dll


Contents of the 'Scheduled Tasks' folder
2007-06-24 15:13:04 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-30 09:36:13 C:\WINDOWS\tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-03 17:26:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-03 17:28:27 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-03 17:28

--- E O F ---
Danke!

#4 Hm, leider weiss ich nicht, warum das loeschen nicht funktioniert hat. Gab es von Combofix eine Rueckmeldung, als du die Datei auf die Combofix.exe hast "fallen" lassen?
__________
MfG Ralf
SEO-Spam Hunter

#5 nein war alles ok soll ichs nochmal probieren!

#6 Ja, aber lade dir vorher eine neue Version von Combofix herunter. Auf dem bleepingcomputer Server gibt es eine neue Version und mache es bitte nicht im abgesicherten Modus
__________
MfG Ralf
SEO-Spam Hunter

#7 "Administrator" - 2007-07-03 18:15:24 - ComboFix 07-07-03.9 - Service Pack 1 [SAFE MODE]


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\apeywcdy.dll
C:\WINDOWS\system32\ydcwyepa.ini
C:\WINDOWS\system32\knnmp.bak1
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\knnmp.bak1
C:\WINDOWS\system32\knnmp.ini
C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\xxyvttq.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


C:\WINDOWS\system32\pmnnk.dll
C:\WINDOWS\system32\xxyvttq.dll

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\xjknbgtl.exe


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((( Files Created from 2007-06-03 to 2007-07-03 )))))))))))))))))))))))))))))))


2007-07-03 00:04 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-02 21:39 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-02 21:39 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-02 21:39 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-02 21:39 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-02 21:39 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-02 21:39 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-02 21:39 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-02 21:39 <DIR> d-------- C:\Programme\Alwil Software
2007-07-02 21:33 <DIR> d-------- C:\Programme\a-squared HiJackFree
2007-07-02 21:28 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM
2007-07-02 19:08 4,672 --a------ C:\WINDOWS\system32\npbuathl.exe
2007-07-02 18:16 2,624 --a------ C:\WINDOWS\system32\janjqdlp.exe
2007-07-02 17:55 122,944 --a------ C:\WINDOWS\system32\tbyorvnl.exe
2007-06-30 21:17 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-06-30 21:01 <DIR> d-------- C:\SAV32CLI
2007-06-30 20:24 <DIR> d-------- C:\Programme\Neuer Ordner
2007-06-30 19:17 <DIR> d-------- C:\Programme\Trojancheck 6
2007-06-30 13:50 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Lavasoft
2007-06-30 13:46 1,048,576 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-30 13:46 0 --ah----- C:\DOKUME~1\ADMINI~1\hpothb07.dat
2007-06-30 13:46 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-30 13:46 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-30 13:46 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\WINDOWS
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\InterVideo
2007-06-30 13:46 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Help
2007-06-30 10:22 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-06-30 00:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-30 00:22 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-06-29 22:02 266,336 --------- C:\WINDOWS\system32\pmnnk.dll
2007-06-29 21:59 32,330 --a------ C:\gghdwaq.exe
2007-06-29 21:59 19,968 --a------ C:\qcwrp.exe
2007-06-29 21:58 32,584 --------- C:\ynudp.exe
2007-06-29 21:57 31,254 --------- C:\WINDOWS\system32\xxyvttq.dll
2007-06-29 08:33 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-06-23 16:15 <DIR> d-------- C:\Programme\WRPSoft
2007-06-08 11:52 947,096 --a------ C:\WINDOWS\system32\_ISource30.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-04-22 16:13:55 77,312 ----a-w C:\WINDOWS\system32\LxrSG20s.exe
2007-04-22 16:13:55 503 ----a-w C:\WINDOWS\system32\LxrCleanup.bat
2007-04-22 16:13:55 274,432 ----a-w C:\WINDOWS\system32\LxrSG20.dll
2007-04-22 16:13:55 200,704 ----a-w C:\WINDOWS\system32\LxrConfig.exe
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-12-15 03:23 440056 --a------ C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A6807262-1D7A-44AB-947B-23B71E97915C}]
2007-06-30 20:55 31254 --------- C:\WINDOWS\system32\xxyvttq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0BA291B-C324-42A3-9FAD-F05E13DF8DBC}]
2007-06-29 22:02 266336 --------- C:\WINDOWS\System32\pmnnk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 13:35]
"Cmaudio"="cmicnfg.dll" []
"Disk Monitor"="C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" [2003-06-18 12:57]
"FastTVSync"="C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" [2003-09-08 03:33]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 10:42]
"SS1HelperStartUp"="C:\PROGRA~1\SEASID~1\SS1HEL~1.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 10:46]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 11:54]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-03-02 16:24]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52]
"@"="" []
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" [2002-11-14 17:23]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-02 14:00]
"DDC"="C:\WINDOWS\System32\xjknbgtl.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Symantec Network Driver Update Warning"=C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
"Symantec NetDriver Warning"=C:\PROGRA~1\SYMNET~1\SNDWarn.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A6807262-1D7A-44AB-947B-23B71E97915C}"="C:\WINDOWS\system32\xxyvttq.dll" [2007-06-30 20:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnk]
C:\WINDOWS\System32\pmnnk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winwea32]
winwea32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyvttq]
xxyvttq.dll


Contents of the 'Scheduled Tasks' folder
2007-06-24 15:13:04 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-30 09:36:13 C:\WINDOWS\tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-03 18:19:28
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-03 18:21:06 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-03 18:20
C:\ComboFix2.txt ... 2007-07-03 17:28

--- E O F ---

#8 Hm, ich muss mal nachhaken, warum das mit Combofix derzeit nicht funktioniert...
BTW: Hast du den report wieder im abgesicherten Modus erstellt? Ich frag nur, ob Combofix da einen Bug hat, denn es meldet SAFE MODE.


Starte bitte catchme ueber start/Ausführen. Gebe dort catchme ein und druecke Enter. Waehle dort den Reiter Script und kopiere dort folgendes ein:

Files:
C:\WINDOWS\system32\vylxbexb.dll
C:\WINDOWS\system32\boqensdo.dll
C:\WINDOWS\system32\postgvsd.dll
C:\WINDOWS\system32\eufstiki.dll
C:\WINDOWS\system32\ewopdglb.dll
C:\WINDOWS\system32\uacrbxwg.dll
C:\WINDOWS\system32\epvdswdi.dll
C:\WINDOWS\system32\etwmnega.dll
C:\WINDOWS\system32\npbuathl.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\nskmgsun.dll
C:\WINDOWS\system32\lnijgasg.dll
C:\WINDOWS\system32\janjqdlp.exe
C:\WINDOWS\system32\ebpigfde.dll
C:\WINDOWS\system32\tbyorvnl.exe
C:\WINDOWS\system32\pmnnk.dll
C:\gghdwaq.exe
C:\qcwrp.exe
C:\ynudp.exe
C:\WINDOWS\system32\xxyvttq.dll

Dann waehle run. Schliesse catchme und starte es erneut. Nun gebe dort folgendes ein:

Files to kill:
C:\WINDOWS\system32\vylxbexb.dll
C:\WINDOWS\system32\boqensdo.dll
C:\WINDOWS\system32\postgvsd.dll
C:\WINDOWS\system32\eufstiki.dll
C:\WINDOWS\system32\ewopdglb.dll
C:\WINDOWS\system32\uacrbxwg.dll
C:\WINDOWS\system32\epvdswdi.dll
C:\WINDOWS\system32\etwmnega.dll
C:\WINDOWS\system32\npbuathl.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\nskmgsun.dll
C:\WINDOWS\system32\lnijgasg.dll
C:\WINDOWS\system32\janjqdlp.exe
C:\WINDOWS\system32\ebpigfde.dll
C:\WINDOWS\system32\tbyorvnl.exe
C:\WINDOWS\system32\pmnnk.dll
C:\gghdwaq.exe
C:\qcwrp.exe
C:\ynudp.exe
C:\WINDOWS\system32\xxyvttq.dll

waehle wieder "Run" und dann "restart", danach bitte wieder ein Combofix und Hijackthis Report erstellen.
__________
MfG Ralf
SEO-Spam Hunter

#9 catchme shreibt beim kill files ein Problem!

vieleicht einfacher wenn ich formtiere!!

#10 Die Dateien zu loeschen ist nicht so das Problem ( Ich benutze dich ein wenig als Versuchskaninchen, denn die Moeglichkeiten von CF und Catchme wollte ich gerne ausreizen). Du hast aber im nachhinein noch 2 Probleme. Erstens dein System befindet sich nicht auf dem Neusten Stand. Sprich du nutzt noch SP! anstatt SP2 und den darauffolgenden Patches. Als 2. weisst du nicht, was dir die Malware alles an Informationen/Passworte und aehnlichem bereits geklaut hat.

Neu Aufsetzen waere die sauberste Loesung: http://board.protecus.de/t13020.htm

Bevor du das angehst, waere es net, wenn du den Ordner qoobox packen und an virus@protecus.de schicken koenntest. Du solltest seit dem File: Script eine Datei namens catchme.zip auf dem Desktop haben. Wenn du das auch mitschicken koenntest.

Achso, die Fehlermeldung von Catchme koennte4 daher kommen, das nicht mehr alle Dateien vorhanden sind, die im Script stehen. Auf deinem Desktop befindet sich eine Catchme.txt oder catchme.log Poste deren Inhalt bitte.
__________
MfG Ralf
SEO-Spam Hunter