TR/Mon.Virtumonde.II

#0
01.08.2007, 17:51
...neu hier

Beiträge: 2
#1 hallo
ja... habe hier gelesen, dass ihr schon anderen geholfen habt, diesen Virus zu löschen...könnt ihr mir auch helfen?

diese Dartei ist betroffen: pmkji.dll


Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
D:\WINDOWS\system32\nvraidservice.exe
D:\WINDOWS\Mixer.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
E:\Programme\ICQLite\ICQLite.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
D:\WINDOWS\System32\wbem\unsecapp.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\Administrator.COMPI\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - D:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nTrayFw] D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ISUSPM Startup] D:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Windows Services] "D:\Programme\svchosts.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINDOWS\system32\mnwohgey.dll",setvm
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] D:\Programme\user32.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "D:\WINDOWS\system32\frbsrouf.dll",realset
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WinAntiVirusPro2007] D:\Programme\WinAntiVirus Pro 2007\winav.exe /min
O4 - HKCU\..\Run: [Emnb] "D:\DOKUME~1\ADMINI~1.COM\ANWEND~1\ASKS~1\msdtc.exe" -vt yazb
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = D:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O20 - Winlogon Notify: ddaby - D:\WINDOWS\system32\ddaby.dll (file missing)
O20 - Winlogon Notify: jkkhggd - D:\WINDOWS\SYSTEM32\jkkhggd.dll
O20 - Winlogon Notify: pmkji - D:\WINDOWS\system32\pmkji.dll
O20 - Winlogon Notify: ssqoppp - ssqoppp.dll (file missing)
O20 - Winlogon Notify: ssttq - D:\WINDOWS\system32\ssttq.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
Dieser Beitrag wurde am 01.08.2007 um 17:56 Uhr von DExShorty editiert.
Seitenanfang Seitenende
02.08.2007, 07:21
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

nicht nur alleine die, sondern noch:
O20 - Winlogon Notify: ddaby - D:\WINDOWS\system32\ddaby.dll (file missing)
O20 - Winlogon Notify: jkkhggd - D:\WINDOWS\SYSTEM32\jkkhggd.dll
O20 - Winlogon Notify: pmkji - D:\WINDOWS\system32\pmkji.dll
O20 - Winlogon Notify: ssqoppp - ssqoppp.dll (file missing)
O20 - Winlogon Notify: ssttq - D:\WINDOWS\system32\ssttq.dll (file missing)
...

Bitte online prüfen lassen und das Ergebniss posten:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

D:\WINDOWS\system32\mnwohgey.dll
D:\Programme\svchosts.exe
D:\WINDOWS\system32\frbsrouf.dll
D:\DOKUME~1\ADMINI~1.COM\ANWEND~1\ASKS~1\msdtc.exe
Wenn es das ich was ich vermute, dann hast Du einige Trojaner
auf Deinem Rechner, d. h. der Rechner ist stark verseucht!
(Eventuell ist neu aufsetzten besser!).

Führe das hier aus:
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

Und danach das hier:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Dann erledigen wir den Rest (if i had the time...)

Chris
Dieser Beitrag wurde am 02.08.2007 um 07:27 Uhr von Chris4You editiert.
Seitenanfang Seitenende
02.08.2007, 14:34
...neu hier

Themenstarter

Beiträge: 2
#3 hallo...
danke für die Hilfe, aber ich befolge deinen Rat den PC neu aufzusetzen...ist glaube ich besser ;)
Seitenanfang Seitenende
02.08.2007, 14:46
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

da es Einige in der Vergangenheit gab, die nach dem Neuaufsetzen des Rechners
gleich wieder bis über beide Ohren verseucht waren:
- Alles erforderliche vorher runterladen (Win-Updates, Virenscanner, Firewall etc) und sichern (CD/DVD)), von einem virenfreien PC
- Installieren OHNE Internetanbindung und zwar komplett (Updates, Virenscanner, Firewall)
- Dann erst online gehen!
http://board.protecus.de/t13020.htm

Chris
Seitenanfang Seitenende
05.08.2007, 14:37
...neu hier

Beiträge: 6
#5 Okay, da ich keinen X.ten Thread aufmachen möchte, poste ich hier einfach mein Anliegen hierrein.

Ich bekomme von Antivir dauernd (beim Anmelden dauernd, nachher seltener) die Meldung "TR/Mon.Virtumonde.II", die Datei heisst immer (bisher kam keine andere Meldung) vtsqn.dll.

HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:35, on 2007-08-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe
C:\Programme\QuickTime\qttask.exe
C:\Downloads\Daemon Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Sicherheitstools\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ogame.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O2 - BHO: (no name) - {5DEDB4C5-299A-4C82-88DE-85DE8D637863} - C:\WINDOWS\system32\vtsqn.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {792A3DCE-6242-4C8B-B172-2693B1656E30} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Sbjzv] C:\Program Files\Xkvuiug\Vnlv.exe
O4 - HKLM\..\Run: [j5231934] rundll32 C:\WINDOWS\system32\j5231934.dll sook
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Downloads\Daemon Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe
O4 - Global Startup: Ruhezeit-Aktivität vorziehen.bat
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Icq Lite\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm368XXDE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.moove.com
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE1E73E-B61C-4984-B30C-B6B701051201}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtsr - C:\WINDOWS\system32\awtsr.dll (file missing)
O20 - Winlogon Notify: awtutuv - awtutuv.dll (file missing)
O20 - Winlogon Notify: ddabb - C:\WINDOWS\system32\ddabb.dll (file missing)
O20 - Winlogon Notify: geeby - C:\WINDOWS\system32\geeby.dll (file missing)
O20 - Winlogon Notify: mljji - C:\WINDOWS\system32\mljji.dll (file missing)
O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll (file missing)
O20 - Winlogon Notify: opnmnmj - C:\WINDOWS\SYSTEM32\opnmnmj.dll
O20 - Winlogon Notify: pmkhf - C:\WINDOWS\system32\pmkhf.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\system32\pmkhi.dll (file missing)
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll
O20 - Winlogon Notify: vtsqr - C:\WINDOWS\system32\vtsqr.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\nxspjavl.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Ich hoffe, mir kann dort einer helfen und ich muss nicht den PC neu aufsetzen, denn ich habe keine Möglichkeit, mir die Virenscanner etc. von nem virenfreien pc zu holen, ist der einzige im Haushalt...

MfG und Danke im Vorraus,

Sascha
Seitenanfang Seitenende
06.08.2007, 12:12
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

bitte das hier zuerst:

Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

Danach http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Das sollte eigentlich reichen um Ihn den Garaus zu machen....

chris

Prüfen ob es die Files
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll
O4 - HKLM\..\Run: [j5231934] rundll32 C:\WINDOWS\system32\j5231934.dll
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitia lSetup1.0.0.8.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab

erwischt hat, sonst über HJ-fixen;
Per Hand mit HJ-fixen:
allen Einträge (bis auf den WgaLogon.dll) im Bereich O20 - Winlogon Notify(z, B.:O20 - Winlogon Notify: awtsr - C:\WINDOWS\system32\awtsr.dll (file missing))

Mache erst dann das HJ-Log und poste es!

Chris
Seitenanfang Seitenende
06.08.2007, 15:09
...neu hier

Beiträge: 6
#7 Beim Anwenden von Vundofix fährt mein PC immer automatisch runter. Habe es jetzt 3 Mal probiert, keines mit Erfolg.

Es erscheint ein Bluescreen mit folgender Aufschrift:

"Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.
Ein für das System wesentlicher Prozess oder Thread wurde unerwarteterweise abgebrochen der beendet.

Wenn sie diesen Fehler zum ersten mal sehen,....

Technische Information: *** STOP: 0x000000F4 (0x00000003, 0x8200E7F0, 0x8200E944, 0x805FA160)"

Ich weiss nicht, ob es jetzt trotzdem Sinn macht, den Rest zu machen (Clean Up etc.) aber ich mache es einfach mal und poste die Logs...


Edit: (gleich folgt noch ein Edit, mit der Prüfung der anderen Dateien)

So, hier der rest:

Combofix:

ComboFix 07-07-30.2 - "Sascha Kimmel" 2007-08-06 15:11:06.1 [GMT 2:00] - NTFS
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.Wahr
* Created a new restore point


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\amswyxbq.dll
C:\WINDOWS\system32\fjyqggxm.dll
C:\WINDOWS\system32\qbxywsma.ini
C:\WINDOWS\system32\nqstv.bak2
C:\WINDOWS\system32\nqstv.ini
C:\WINDOWS\system32\nqstv.ini2
C:\WINDOWS\system32\nqstv.tmp
C:\WINDOWS\system32\vtsqn.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\SASCHA~1\ANWEND~1.\macromedia\Flash Player\#SharedObjects\AX4GKUW8\www.broadcaster.com
C:\DOKUME~1\SASCHA~1\ANWEND~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\DOKUME~1\SASCHA~1\ANWEND~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\sysdm.exe


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))


2007-08-06 14:20 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-08-06 13:31 <DIR> d----c--- C:\VundoFix Backups
2007-08-02 19:37 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2007-08-02 16:24 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-02 15:56 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-08-02 15:23 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-02 15:02 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-08-02 12:56 <DIR> d----c--- C:\Programme\Sicherheitstools
2007-07-31 18:35 <DIR> d----c--- C:\Programme\Screenvideo
2007-07-31 17:15 6,486 ---hs---- C:\WINDOWS\system32\bbadd.ini2
2007-07-31 13:05 6,486 ---hs---- C:\WINDOWS\system32\bbadd.bak2
2007-07-30 22:29 6,486 ---hs---- C:\WINDOWS\system32\bbadd.bak1
2007-07-30 22:14 <DIR> d----c--- C:\Programme\Irfanview
2007-07-30 10:06 <DIR> d----c--- C:\DOKUME~1\MARTIN~1.HNP\ANWEND~1\ICQ Toolbar
2007-07-28 20:35 <DIR> d----c--- C:\Programme\Hamachi
2007-07-28 13:56 6,547 ---hs---- C:\WINDOWS\system32\jjjlm.bak2
2007-07-27 23:06 6,486 ---hs---- C:\WINDOWS\system32\jjjlm.bak1
2007-07-27 12:00 6,542 ---hs---- C:\WINDOWS\system32\ybeeg.ini2
2007-07-24 13:18 6,542 ---hs---- C:\WINDOWS\system32\ybeeg.bak2
2007-07-23 18:38 6,526 ---hs---- C:\WINDOWS\system32\ybeeg.bak1
2007-07-20 23:22 6,486 ---hs---- C:\WINDOWS\system32\rqstv.bak2
2007-07-19 11:13 6,362 ---hs---- C:\WINDOWS\system32\rqstv.bak1
2007-07-17 23:55 6,402 ---hs---- C:\WINDOWS\system32\ihkmp.bak2
2007-07-17 00:22 6,402 ---hs---- C:\WINDOWS\system32\ihkmp.ini2
2007-07-16 11:55 6,362 ---hs---- C:\WINDOWS\system32\ihkmp.bak1
2007-07-16 03:26 679,936 --a------ C:\WINDOWS\system32\D3DX81ab.dll
2007-07-16 00:12 <DIR> d----c--- C:\Programme\WinPcap
2007-07-14 12:26 <DIR> d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Gaijin Ent
2007-07-14 12:25 <DIR> d----c--- C:\Programme\Zylom Games
2007-07-14 12:24 6,362 ---hs---- C:\WINDOWS\system32\ijjlm.bak2
2007-07-14 03:59 6,362 ---hs---- C:\WINDOWS\system32\ijjlm.ini2
2007-07-13 21:26 6,362 ---hs---- C:\WINDOWS\system32\ijjlm.bak1
2007-07-09 14:50 <DIR> d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\ICQ Toolbar
2007-07-09 14:48 <DIR> d----c--- C:\Programme\ICQToolbar
2007-07-09 14:46 <DIR> d----c--- C:\Programme\ICQ6
2007-07-09 14:46 <DIR> d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\InstallShield
2007-07-07 22:54 <DIR> d----c--- C:\Programme\Teamspeak2_RC2
2007-07-07 12:53 6,362 ---hs---- C:\WINDOWS\system32\rstwa.bak2
2007-07-07 00:20 57,599 ---hs---- C:\WINDOWS\system32\rstwa.ini2
2007-07-07 00:14 6,362 ---hs---- C:\WINDOWS\system32\rstwa.bak1
2007-07-07 00:09 268,579 --a------ C:\WINDOWS\system32\yxrvpda_nav.dat
2007-07-07 00:08 86,016 --a------ C:\WINDOWS\system32\tuvuvut.exe
2007-07-07 00:08 6,220 --a------ C:\WINDOWS\system32\yxrvpda.dat
2007-07-07 00:08 350,241 -----c--- C:\WINDOWS\system32\gxkexfwj.exe
2007-07-07 00:08 287,254 --a------ C:\WINDOWS\system32\opnmnmj.dll
2007-07-07 00:08 1,914 --a------ C:\WINDOWS\system32\yxrvpda_navps.dat
2007-07-06 23:41 <DIR> d----c--- C:\Programme\Ubisoft
2007-07-06 23:08 <DIR> d----c--- C:\Programme\Sudoku Meister


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-06 14:59 --------- d----c--- C:\Programme\Thunderbird
2007-08-06 14:57 74996 --a--c--- C:\WINDOWS\system32\perfc007.dat
2007-08-06 14:57 415470 --a--c--- C:\WINDOWS\system32\perfh007.dat
2007-08-05 23:07 --------- d----c--- C:\Programme\Warcraft III
2007-08-04 02:24 --------- d-------- C:\Programme\LimeWire
2007-08-03 11:29 --------- d-------- C:\Programme\TV Media
2007-08-02 14:11 --------- d-------- C:\Programme\Telekom
2007-08-02 03:55 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-01 21:22 0 --a--c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\tvmknwrd.dll
2007-07-28 22:35 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Hamachi
2007-07-28 20:37 25544 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-07-27 16:43 --------- d----c--- C:\Programme\Windows Live Safety Center
2007-07-27 15:24 50288 --a--c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\wklnhst.dat
2007-07-14 13:40 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Zylom
2007-07-09 15:07 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Skype
2007-07-09 14:48 --------- d----c--- C:\Programme\ICQLite
2007-07-09 14:48 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\ICQ
2007-07-05 01:16 --------- d----c--- C:\Programme\Windows Live
2007-07-05 01:16 --------- d----c--- C:\Programme\Messenger Plus! Live
2007-07-04 17:37 --------- d----c--- C:\Programme\Simple ScreenShot
2007-07-04 03:43 21982 --a--c--- C:\WINDOWS\mozver.dat
2007-07-03 16:57 --------- d----c--- C:\Programme\Philips
2007-06-26 11:51 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-06-24 19:35 --------- d----c--- C:\Programme\EA GAMES
2007-06-20 22:02 927616 ---hs---- C:\WINDOWS\system32\fhkmp.ini2
2007-06-20 20:01 927905 ---hs---- C:\WINDOWS\system32\fhkmp.bak2
2007-06-20 15:41 --------- d----c--- C:\Programme\Avira Antivir
2007-06-06 12:43 --------- d----c--- C:\Programme\ICQ Away Reader
2007-05-28 15:13 733260 ---hs---- C:\WINDOWS\system32\fhkmp.bak1
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2007-07-07 00:08 287254 --a------ C:\WINDOWS\system32\opnmnmj.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{792A3DCE-6242-4C8B-B172-2693B1656E30}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{02FFC86E-283E-4FAA-95D6-ADDCA024F30A}"= C:\Programme\Games\tbGame.dll [ ]

[-HKEY_CLASSES_ROOT\CLSID\{02FFC86E-283E-4FAA-95D6-ADDCA024F30A}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sbjzv"="C:\Program Files\Xkvuiug\Vnlv.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"UnlockerAssistant"="C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19]
"TV Media"="C:\Programme\TV Media\Tvm.exe" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 11:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Downloads\Daemon Tools\daemon.exe" [2006-11-12 12:48]
"TV Media"="C:\Programme\TV Media\Tvm.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56]
phase6_17_erinnerung.lnk - C:\Programme\phase6\phase6_17\WinStart\WinStart.exe [2005-07-26 12:23:22]
Ruhezeit-Aktivit„t vorziehen.bat [2007-04-21 12:00:20]
TrayMin210.exe.lnk - C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe [2007-07-03 16:57:29]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"RunStartupScriptSync"=0 (0x0)
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=1 (0x1)
"LinkResolveIgnoreLinkInfo"=0 (0x0)
"NoResolveSearch"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"=0 (0x0)
"NoSaveSettings"=0 (0x0)
"NoRecentDocsHistory"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\opnmnmj.dll [2007-07-07 00:08 287254]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr]
C:\WINDOWS\system32\awtsr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv]
awtutuv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb]
C:\WINDOWS\system32\ddabb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby]
C:\WINDOWS\system32\geeby.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji]
C:\WINDOWS\system32\mljji.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj]
C:\WINDOWS\system32\mljjj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmnmj]
opnmnmj.dll 2007-07-07 00:08 287254 C:\WINDOWS\system32\opnmnmj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf]
C:\WINDOWS\system32\pmkhf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi]
C:\WINDOWS\system32\pmkhi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr]
C:\WINDOWS\system32\vtsqr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\alchem]
C:\WINDOWS\alchem.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"C:\Programme\BearShare\BearShare.exe" /pause

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CARPService]
carpserv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE]
C:\Programme\Browser Mouse\moffice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Games toolbar]
rundll32.exe "C:\PROGRA~1\Games\tbGame.dll" DllShowTB

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Glass2k]
E:\SF\vista\glass2k.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin]
C:\PROGRA~1\MyWebSearch\bar\1.bin\mwsoemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Programme\Napster\napster.exe /systray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM-Reset]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qhlhdqslvlhre]
C:\WINDOWS\System32\xwiqrnfv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIDEBAR]
"C:\Programme\Desktop Sidebar\dsidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]
rundll32.exe "C:\WINDOWS\system32\amswyxbq.dll",setvm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot S&D\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"c:\downloads\counterstrike 1.6 + extras\steam\steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SteamServer]
C:\Valve\UniLauncher\SteamServer\SteamServer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater]
C:\WINDOWS\updatetc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TV Media]
C:\Programme\TV Media\Tvm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinDSL MTU-Adjust]
WinDSL_MTU.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe]
C:\Programme\Keylogger\Free KGB Key Logger\winlogons.exe

R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys
R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys
R0 sfvfs02;StarForce Protection VFS Driver (version 2.x);C:\WINDOWS\system32\drivers\sfvfs02.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys
R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys
R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
R2 ACEDRV09;ACEDRV09;\??\C:\WINDOWS\system32\drivers\ACEDRV09.sys
R2 CAPI20;Eumex 604PC HomeNet;C:\WINDOWS\system32\Drivers\CAPI20.SYS
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys
R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
R2 StreamDispatcher;StreamDispatcher;C:\WINDOWS\system32\DRIVERS\strmdisp.sys
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
R3 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\moufiltr.sys
R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys
R3 ZSMC301b;Philips SPC210NC Webcam;C:\WINDOWS\system32\Drivers\usbVM31b.sys
S2 spupdsvc;Windows Service Pack Installer update service;C:\WINDOWS\system32\spupdsvc.exe
S3 Bridge;MAC-Brcke;C:\WINDOWS\system32\DRIVERS\bridge.sys
S3 BridgeMP;MAC-Brckenminiport;C:\WINDOWS\system32\DRIVERS\bridge.sys
S3 dot4;MS IEEE-1284.4-Treiber;C:\WINDOWS\system32\DRIVERS\Dot4.sys
S3 Dot4Print;Druckerklassentreiber fr IEEE-1284.4;C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys
S3 dot4usb;Dot4USB-Filter Dot4USB Filter;C:\WINDOWS\system32\DRIVERS\dot4usb.sys
S3 dtwmnic5;Telekom Eumex 704PC DSL;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber;C:\WINDOWS\system32\DRIVERS\fetnd5.sys
S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys
S3 GMSIPCI;GMSIPCI;\??\E:\INSTALL\GMSIPCI.SYS
S3 nm;Netzwerkmonitortreiber;C:\WINDOWS\system32\DRIVERS\NMnt.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys
S3 viagfx;viagfx;C:\WINDOWS\system32\DRIVERS\vtmini.sys
S3 wanatw;WAN Miniport (ATW);C:\WINDOWS\system32\DRIVERS\wanatw4.sys
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0321fbaf-e168-11db-a7cf-454b47000031}]
AutoRun\command- K:\SETUP.EXE -autorun


Contents of the 'Scheduled Tasks' folder
2007-08-04 13:36:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe
2007-08-06 13:33:00 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-06 15:31:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-06 15:34:13 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-06 15:33

--- E O F ---




datFind:


System32:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 94F5-8BC9

Verzeichnis von C:\WINDOWS\system32

06.08.2007 15:37 375 mlnmp.ini
06.08.2007 15:37 266.304 pmnlm.dll
06.08.2007 15:33 401.064 perfh009.dat
06.08.2007 15:33 62.344 perfc009.dat
06.08.2007 15:33 415.470 perfh007.dat
06.08.2007 15:33 74.996 perfc007.dat
06.08.2007 15:33 966.074 PerfStringBackup.INI
06.08.2007 14:20 24.576 VundoFixSVC.exe
02.08.2007 16:31 1.914 yxrvpda_navps.dat
02.08.2007 16:30 6.220 yxrvpda.dat
02.08.2007 14:51 7.680 Thumbs.db
02.08.2007 13:47 143 mcrh.tmp
01.08.2007 01:35 6.486 bbadd.ini2
31.07.2007 13:06 6.486 bbadd.tmp
31.07.2007 13:05 6.486 bbadd.bak2
30.07.2007 22:29 6.486 bbadd.bak1
29.07.2007 03:03 39.075 jjjlm.ini
28.07.2007 13:56 6.547 jjjlm.bak2
27.07.2007 23:06 6.486 jjjlm.bak1
27.07.2007 18:19 6.542 ybeeg.ini2
27.07.2007 11:33 6.542 ybeeg.bak2
26.07.2007 20:24 268.579 yxrvpda_nav.dat
26.07.2007 02:22 6.769 ybeeg.ini
25.07.2007 10:38 24.486 ybeeg.tmp
23.07.2007 18:38 6.526 ybeeg.bak1
22.07.2007 20:22 1.158 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
21.07.2007 00:34 6.486 rqstv.ini
20.07.2007 23:22 6.486 rqstv.bak2
19.07.2007 23:13 6.362 rqstv.bak1
18.07.2007 18:59 6.402 ihkmp.ini2
18.07.2007 10:37 6.402 ihkmp.bak2
17.07.2007 21:22 5.214 jupdate-1.6.0_02-b06.log
17.07.2007 05:07 7.600 ihkmp.tmp
17.07.2007 05:07 22.936 ihkmp.ini
16.07.2007 23:55 6.362 ihkmp.bak1
16.07.2007 03:26 6.362 ijjlm.ini2
15.07.2007 22:51 6.362 ijjlm.bak2
14.07.2007 04:12 6.379 ijjlm.ini
14.07.2007 03:59 6.362 ijjlm.tmp
13.07.2007 21:26 6.362 ijjlm.bak1
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
08.07.2007 03:10 57.599 rstwa.ini2
07.07.2007 14:21 920.580 plwauxdy.ini
07.07.2007 12:53 6.362 rstwa.bak2
07.07.2007 00:50 23.244 rstwa.ini
07.07.2007 00:20 10.063 rstwa.tmp
07.07.2007 00:14 6.362 rstwa.bak1
07.07.2007 00:08 287.254 opnmnmj.dll
07.07.2007 00:08 86.016 tuvuvut.exe
07.07.2007 00:08 350.241 gxkexfwj.exe
06.07.2007 13:23 920.400 codxtptv.ini
06.07.2007 13:14 920.340 jergbocw.ini
05.07.2007 13:50 920.220 ivtpwwce.ini
05.07.2007 00:10 920.100 mtststod.ini
04.07.2007 16:31 919.920 gttfgiho.ini
04.07.2007 12:29 919.800 ogrorfge.ini
04.07.2007 12:23 950.913 cmvjcijn.ini
04.07.2007 12:21 298.048 FNTCACHE.DAT
03.07.2007 18:31 912.910 ruhxmgcw.ini
02.07.2007 12:16 1.003.133 qvnpfrqp.ini
01.07.2007 21:40 4.254 jupdate-1.6.0_01-b06.log
01.07.2007 19:56 976.108 vjjtgsjy.ini
30.06.2007 12:25 975.989 myqttxik.ini
29.06.2007 11:15 975.869 brbdxqhk.ini
29.06.2007 11:09 976.571 otxcseek.ini
28.06.2007 19:55 915.786 ppsmgklk.ini
28.06.2007 19:46 915.726 qxhwsjla.ini
28.06.2007 11:44 915.606 rauphdel.ini
28.06.2007 11:35 915.546 avrbmfbh.ini
28.06.2007 09:57 16.256.984 MRT.exe
27.06.2007 13:48 915.366 qeuerdmv.ini
26.06.2007 11:51 98.304 CmdLineExt.dll
26.06.2007 11:51 915.246 mbnymsul.ini
25.06.2007 12:15 915.127 vpvvgked.ini
24.06.2007 14:04 825 vwwhiyyd.ini
24.06.2007 13:58 765 dxuencgx.ini
24.06.2007 00:27 645 vxfxfqjk.ini
23.06.2007 12:29 525 usyvukmk.ini
22.06.2007 11:53 405 unjxphty.ini
21.06.2007 09:57 907.311 ppvdhhvk.ini
21.06.2007 02:29 950.630 qtstv.tmp
21.06.2007 01:30 900.663 raxjfdlv.ini
20.06.2007 22:02 927.616 fhkmp.ini2
20.06.2007 20:01 927.905 fhkmp.bak2
20.06.2007 12:12 900.580 ivgwfwsx.ini
20.06.2007 12:10 898.776 gygxebxq.ini
19.06.2007 13:52 898.546 dwnfqrqp.ini
18.06.2007 17:13 465 dkcdsdhh.ini
18.06.2007 14:10 405 rvllncux.ini
16.06.2007 01:09 922.489 depxyruy.ini
16.06.2007 01:06 922.429 yqfkaapu.ini
15.06.2007 20:40 922.310 cowhexuc.ini
15.06.2007 15:18 765 cctgjvgq.ini
15.06.2007 10:20 645 idlwtyer.ini
14.06.2007 13:27 525 ixjxkdpi.ini
13.06.2007 22:08 405 bxfldsid.ini
13.06.2007 13:35 948.640 yxbneqme.ini
13.06.2007 13:35 948.581 qlsprnag.ini
12.06.2007 16:57 943.928 snwnwgpa.ini
11.06.2007 15:24 1.091.754 modyaeuw.ini
11.06.2007 15:24 1.091.754 gwdaepom.ini
04.06.2007 17:21 1.102.636 iiqcrosp.ini
02.06.2007 09:59 1.604 glhhwtxy.ini
28.05.2007 15:13 733.260 fhkmp.bak1
18.05.2007 20:12 2.534.337 hmrwgtev.ini
16.05.2007 17:11 683.520 inetcomm.dll
11.05.2007 18:28 3.386 spupdsvc.inf
11.05.2007 17:24 1.464.869 xqsccidq.ini
08.05.2007 10:59 3.583.488 mshtml.dll
03.05.2007 23:04 1.004 cbqkeiwg.ini


-----------------------------------------------

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 94F5-8BC9

Verzeichnis von C:\DOKUME~1\SASCHA~1\LOKALE~1\Temp

06.08.2007 15:37 167 jusched.log
1 Datei(en) 167 Bytes
0 Verzeichnis(se), 25.817.628.672 Bytes frei

------------------------------------------------

system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 94F5-8BC9

Verzeichnis von C:\WINDOWS

06.08.2007 15:19 159 wiadebug.log
06.08.2007 15:19 1.645.698 WindowsUpdate.log
06.08.2007 15:19 50 wiaservc.log
06.08.2007 15:19 2.048 bootstat.dat
06.08.2007 15:18 32.576 SchedLgU.Txt
06.08.2007 14:53 315.082 ntbtlog.txt
05.08.2007 21:53 1.205 win.ini
05.08.2007 17:24 1.200 winamp.ini
05.08.2007 01:14 54.156 QTFont.qfn
02.08.2007 14:49 18.289 windows.txt
02.08.2007 14:43 45 DICDGGPQ.ini
02.08.2007 04:07 43.626 setupapi.log
31.07.2007 20:26 49 NeroDigital.ini
20.07.2007 00:47 109.056 catchme.exe
04.07.2007 17:16 1.236 SimpleScreenshot_Uninstall.in
04.07.2007 03:43 21.982 mozver.dat
17.06.2007 00:11 51.200 nircmd.exe
13.06.2007 20:06 259.518 ntdtcsetup.log
13.06.2007 20:06 64.173 ocmsn.log
13.06.2007 20:06 492.215 tsoc.log
13.06.2007 20:06 185.337 iis6.log
13.06.2007 20:06 20.302 KB929123.log
13.06.2007 20:06 63.620 msgsocm.log
13.06.2007 20:06 1.204.344 FaxSetup.log
13.06.2007 20:06 87.047 updspapi.log
13.06.2007 20:06 1.374 imsins.BAK
13.06.2007 20:06 18.895 KB935840.log
13.06.2007 20:04 18.393 KB935839.log
13.06.2007 20:03 24.030 KB933566-IE7.log
28.05.2007 21:26 0 setuperr.log
23.05.2007 20:01 7.597 KB927891.log
12.05.2007 19:25 32 autostart.INI
12.05.2007 19:24 32 AUTOSTAR.INI
11.05.2007 18:51 19.634 KB931768-IE7.log
11.05.2007 18:48 14.065 KB929969.log
11.05.2007 18:31 32.100 ie7_main.log
11.05.2007 18:28 48.480 ie7.log
11.05.2007 18:23 20.678 IDNMitigationAPIs.log
11.05.2007 18:22 19.858 NLSDownlevelMapping.log
11.05.2007 18:21 15.095 KB915865.log
11.05.2007 18:06 5.223 KB914440.log
11.05.2007 18:06 18.862 KB932168.log
10.05.2007 18:36 13.069 KB931768.log
10.05.2007 18:35 10.814 KB930916.log

------------------------------------------------

tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 94F5-8BC9

Verzeichnis von C:\WINDOWS\TEMP

06.08.2007 15:37 16.384 Perflib_Perfdata_fd4.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 25.817.481.216 Bytes frei

--------------------------------------------------------

down:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 94F5-8BC9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.03.2007 12:17 1.292 erma.inf

----------------------------------------------------------

sys:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 94F5-8BC9

Verzeichnis von C:\

06.08.2007 15:37 0 sys.txt
06.08.2007 15:37 952 down.txt
06.08.2007 15:37 289 tmp.txt
06.08.2007 15:37 18.186 system.txt
06.08.2007 15:37 295 systemtemp.txt
06.08.2007 15:37 114.144 system32.txt
06.08.2007 15:34 18.567 ComboFix.txt
06.08.2007 15:33 2.866 ComboFix-quarantined-files.txt
06.08.2007 15:19 536.399.872 hiberfil.sys
06.08.2007 15:19 786.432.000 pagefile.sys
06.08.2007 14:45 1.926 VundoFix.txt
03.08.2007 11:29 519 aaw7boot.log
02.08.2007 14:53 933 c.txt
08.07.2007 21:14 63.646 playground.log
23.04.2007 18:45 211 boot.ini

-----------------------------------------------





EDIT 2:

Habe eine Datei scannen können, die andere beiden Dateien mit Pfad existieren nicht mehr und die beiden O16-Dateien weiss ich nicht, wie ich sie scannen kann...



Befund:

File: opnmnmj.dll
Status: INFECTED/MALWARE
MD5: e2151bfccafdea6f56a02e1f3e0e6dc6
Packers detected: -
Bit9 reports: File not found

AntiVir Found ADSPY/Virtumonde.JP.145
Avast Found Win32:Vundo-gen47
AVG Antivirus Found Generic2.HJF
BitDefender Found Adware.Virtumonde.GFS
Dr.Web Found Trojan.Virtumod
F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.jp (4, 1, 400)
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.jp
NOD32 Found a variant of Win32/Adware.Virtumonde.FP application
Norman Virus Control Found W32/Virtumonde.HIJ

--------------------------------------------------





EDIT 3:

Und nun Edit nr. 3

Die neue HJT-logdatei hab ich dann gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 16:19:42, on 06.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe
C:\Programme\QuickTime\qttask.exe
C:\Downloads\Daemon Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sicherheitstools\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ogame.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {792A3DCE-6242-4C8B-B172-2693B1656E30} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89BB1778-3736-4037-82F6-D94DDDAEDF92} - C:\WINDOWS\system32\pmnlm.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Sbjzv] C:\Program Files\Xkvuiug\Vnlv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Downloads\Daemon Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe
O4 - Global Startup: Ruhezeit-Aktivität vorziehen.bat
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Icq Lite\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm368XXDE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.moove.com
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE1E73E-B61C-4984-B30C-B6B701051201}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: opnmnmj - C:\WINDOWS\SYSTEM32\opnmnmj.dll
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Bei O20 die beiden Dateien konnte ich nicht reparieren/löschen.
Den Rest habe ich gefixt (ausser die gescannte datei, die auch als Virus gefunden wurde)

Übrigens: Ein fettes Dankeschön erst einmal, das sind eine Menge Daten, die du dir da durchlesen und verarbeiten musst... Finde ich echt klasse von dir, dass du mir helfen kannst und möchtest !!
Dieser Beitrag wurde am 06.08.2007 um 16:21 Uhr von dickbrave editiert.
Seitenanfang Seitenende
06.08.2007, 17:24
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

um Himmelswillen, da wimmelt es nur so von!
Kein Wunder stürzt Vundo ab, probiere es nach diesem Durchlauf noch einmal.

(Das kostet Dich bei der Menge einen Kasten Bier, normalerweise sollte man formatieren ...!)

Zitat

Bitte folgende Files prüfen:
C:\WINDOWS\system32\amswyxbq.dll
C:\WINDOWS\updatetc.exe
C:\Programme\Keylogger\Free KGB Key Logger\winlogons.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\DOKUME~1\SASCHA~1\ANWEND~1\tvmknwrd.dll
C:\WINDOWS\System32\pmnlm.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Falls erkannt zu Files to delete bei avenger rein!

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Sbjzv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmnmj
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare

Files to delete:
C:\DOKUME~1\SASCHA~1\ANWEND~1\tvmknwrd.dll
C:\WINDOWS\System32\xwiqrnfv.exe
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\system32\bbadd.tmp
C:\WINDOWS\system32\bbadd.bak2
C:\WINDOWS\system32\bbadd.bak1
C:\WINDOWS\system32\jjjlm.ini
C:\WINDOWS\system32\jjjlm.bak2
C:\WINDOWS\system32\jjjlm.bak1
C:\WINDOWS\system32\ybeeg.ini2
C:\WINDOWS\system32\ybeeg.bak2
C:\WINDOWS\system32\ybeeg.ini
C:\WINDOWS\system32\ybeeg.tmp
C:\WINDOWS\system32\ybeeg.bak1
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\rqstv.ini
C:\WINDOWS\system32\rqstv.bak2
C:\WINDOWS\system32\rqstv.bak1
C:\WINDOWS\system32\ihkmp.ini2
C:\WINDOWS\system32\ihkmp.bak2
C:\WINDOWS\system32\ihkmp.tmp
C:\WINDOWS\system32\ihkmp.ini
C:\WINDOWS\system32\ihkmp.bak1
C:\WINDOWS\system32\ijjlm.ini2
C:\WINDOWS\system32\ijjlm.bak2
C:\WINDOWS\system32\ijjlm.ini
C:\WINDOWS\system32\ijjlm.tmp
C:\WINDOWS\system32\ijjlm.bak1
C:\WINDOWS\system32\rstwa.bak2
C:\WINDOWS\system32\rstwa.ini
C:\WINDOWS\system32\rstwa.tmp
C:\WINDOWS\system32\rstwa.bak1
C:\WINDOWS\system32\opnmnmj.dll
C:\WINDOWS\system32\tuvuvut.exe
C:\WINDOWS\system32\gxkexfwj.exe

Arrrghhh und so weiter!

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat


R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll (file missing)
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll
O2 - BHO: (no name) - {792A3DCE-6242-4C8B-B172-2693B1656E30} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89BB1778-3736-4037-82F6-D94DDDAEDF92} - C:\WINDOWS\system32\pmnlm.dll
O4 - HKLM\..\Run: [Sbjzv] C:\Program Files\Xkvuiug\Vnlv.exe
O20 - Winlogon Notify: opnmnmj - C:\WINDOWS\SYSTEM32\opnmnmj.dll
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm368XXDE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitia lSetup1.0.0.8.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab


Stelle Antivir so ein:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

Scanne die Festplatte(n) und poste den Report (wie alle anderen auch).

Dann noch mal VundoFix.

scanne mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html

Neues HJ-Log!


Chris
Seitenanfang Seitenende
06.08.2007, 19:00
...neu hier

Beiträge: 6
#9 Datei spupdsvc.exe empfangen 2007.08.06 18:41:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.06 -
AntiVir 7.4.0.57 2007.08.06 -
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.06 -
CAT-QuickHeal 9.00 2007.08.06 -
ClamAV 0.91 2007.08.06 -
DrWeb 4.33 2007.08.06 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5037 2007.08.06 -
Ewido 4.0 2007.08.06 -
FileAdvisor 1 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.06 -
Ikarus T3.1.1.8 2007.08.06 -
Kaspersky 4.0.2.24 2007.08.06 -
McAfee 5091 2007.08.06 -
Microsoft 1.2704 2007.08.06 -
NOD32v2 2439 2007.08.06 -
Norman 5.80.02 2007.08.06 -
Panda 9.0.0.4 2007.08.06 -
Prevx1 V2 2007.08.06 -
Rising 19.35.02.00 2007.08.06 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.06 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.06 -
Webwasher-Gateway 6.0.1 2007.08.06 -
weitere Informationen
File size: 22752 bytes
MD5: e70e4ee2be6428cdae101363226ad4a9
SHA1: 8055ba91bfeb4f549d74b4ec74949802ffe9477a

--------------------------------------------------

Datei pmnlm.dll empfangen 2007.08.06 18:50:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 15/32 (46.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.06 -
AntiVir 7.4.0.57 2007.08.06 TR/Mon.Virtumonde.IH
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.06 Win32:Vundo-gen49
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.06 Adware.Virtumonde.GFS
CAT-QuickHeal 9.00 2007.08.06 -
ClamAV 0.91 2007.08.06 -
DrWeb 4.33 2007.08.06 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5037 2007.08.06 Win32/Vundo!generic
Ewido 4.0 2007.08.06 -
FileAdvisor 1 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.06 -
Ikarus T3.1.1.8 2007.08.06 -
Kaspersky 4.0.2.24 2007.08.06 -
McAfee 5091 2007.08.06 -
Microsoft 1.2704 2007.08.06 Trojan:Win32/Virtumonde.O
NOD32v2 2439 2007.08.06 a variant of Win32/Adware.Virtumonde.FP
Norman 5.80.02 2007.08.06 Vundo.dam
Panda 9.0.0.4 2007.08.06 Suspicious file
Prevx1 V2 2007.08.06 -
Rising 19.35.02.00 2007.08.06 -
Sophos 4.19.0 2007.08.01 Virtumundo
Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious
Symantec 10 2007.08.06 Trojan.Vundo
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.06 Adware.Vundo.Gen!Pac.15
Webwasher-Gateway 6.0.1 2007.08.06 Trojan.Mon.Virtumonde.IH
weitere Informationen
File size: 266304 bytes
MD5: b2b9a465e34b5d3758517e396219a554
SHA1: b28c94cb5a26e9a242190f4da5cda4fe11891b69
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

----------------------------------------------------------

Das schonmal zu den Files, die andern hab ich auch mitsamt Pfad reinkopiert, wurden aber nicht gefunden.

Beim nächsten Edit gibts dann den rest (wegen Neustart die Edits)

EDIT 1:

Hab Avenger durchlaufen lassen, aber da wurden manche Dateien nicht gelöscht:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vqrbbuis

*******************

Script file located at: \??\C:\WINDOWS\eacdppef.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\DOKUME~1\SASCHA~1\ANWEND~1\tvmknwrd.dll deleted successfully.


File C:\WINDOWS\System32\xwiqrnfv.exe not found!
Deletion of file C:\WINDOWS\System32\xwiqrnfv.exe failed!

Could not process line:
C:\WINDOWS\System32\xwiqrnfv.exe
Status: 0xc0000034


File C:\WINDOWS\system32\bbadd.ini2 deleted successfully.
File C:\WINDOWS\system32\bbadd.tmp deleted successfully.
File C:\WINDOWS\system32\bbadd.bak2 deleted successfully.
File C:\WINDOWS\system32\bbadd.bak1 deleted successfully.
File C:\WINDOWS\system32\jjjlm.ini deleted successfully.
File C:\WINDOWS\system32\jjjlm.bak2 deleted successfully.
File C:\WINDOWS\system32\jjjlm.bak1 deleted successfully.
File C:\WINDOWS\system32\ybeeg.ini2 deleted successfully.
File C:\WINDOWS\system32\ybeeg.bak2 deleted successfully.
File C:\WINDOWS\system32\ybeeg.ini deleted successfully.
File C:\WINDOWS\system32\ybeeg.tmp deleted successfully.
File C:\WINDOWS\system32\ybeeg.bak1 deleted successfully.
File C:\WINDOWS\system32\swreg.exe deleted successfully.
File C:\WINDOWS\system32\rqstv.ini deleted successfully.
File C:\WINDOWS\system32\rqstv.bak2 deleted successfully.
File C:\WINDOWS\system32\rqstv.bak1 deleted successfully.
File C:\WINDOWS\system32\ihkmp.ini2 deleted successfully.
File C:\WINDOWS\system32\ihkmp.bak2 deleted successfully.
File C:\WINDOWS\system32\ihkmp.tmp deleted successfully.
File C:\WINDOWS\system32\ihkmp.ini deleted successfully.
File C:\WINDOWS\system32\ihkmp.bak1 deleted successfully.
File C:\WINDOWS\system32\ijjlm.ini2 deleted successfully.
File C:\WINDOWS\system32\ijjlm.bak2 deleted successfully.
File C:\WINDOWS\system32\ijjlm.ini deleted successfully.
File C:\WINDOWS\system32\ijjlm.tmp deleted successfully.
File C:\WINDOWS\system32\ijjlm.bak1 deleted successfully.
File C:\WINDOWS\system32\rstwa.bak2 deleted successfully.
File C:\WINDOWS\system32\rstwa.ini deleted successfully.
File C:\WINDOWS\system32\rstwa.tmp deleted successfully.
File C:\WINDOWS\system32\rstwa.bak1 deleted successfully.
File C:\WINDOWS\system32\opnmnmj.dll deleted successfully.
File C:\WINDOWS\system32\tuvuvut.exe deleted successfully.
File C:\WINDOWS\system32\gxkexfwj.exe deleted successfully.
File C:\WINDOWS\System32\pmnlm.dll deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Sbjzv deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby failed!
Status: 0xc0000034




Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj failed!
Status: 0xc0000034


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmnmj deleted successfully.


Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf failed!
Status: 0xc0000034




Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi failed!
Status: 0xc0000034




Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr failed!
Status: 0xc0000034


Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


EDIT 2:
Hier der Scan mit Antivir:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 6. August 2007 19:26

Es wird nach 1004013 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Sascha Kimmel
Computername: HNPC1

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 20:32:53
ANTIVIR2.VDF : 6.39.0.207 1077248 Bytes 02.08.2007 19:11:48
ANTIVIR3.VDF : 6.39.0.216 93696 Bytes 06.08.2007 17:24:27
AVEWIN32.DLL : 7.4.0.57 2707968 Bytes 01.08.2007 19:13:51
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 19:11:48
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 6. August 2007 19:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayMin210.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UnlockerAssistant.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '19' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\avenger\backup.zip
[0] Archivtyp: ZIP
--> avenger/gxkexfwj.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
--> avenger/pmnlm.dll
[FUND] Ist das Trojanische Pferd TR/Mon.Virtumonde.IH
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Thunderbird\Profiles\s71jjuj7.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: craig hall <craig.hall@scholzes.com>][Subject: postcard][Message-ID: <0MKpEa-1GyqWB3Y3M-0003Lj@mx.kundenserver.de>]4462.mim
[1] Archivtyp: MIME
--> postcard.zip
[2] Archivtyp: ZIP
--> postcard.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.edn
--> Mailbox_[Message-ID: <4596A29F.5020100@mixplant.com.ph>][From: real time <hdcsqr@mixplant.com.ph>][Subject: Happy New Year!]4534.mim
[1] Archivtyp: MIME
--> Greeting Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <4596C830.5030904@mellonde.info>][From: threshold <umvq@mellonde.info>][Subject: Happy New Year!]4536.mim
[1] Archivtyp: MIME
--> Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45977CA2.5000104@beterem-ingenierie.fr>][From: twig <pxlevi@beterem-ingenierie.fr>][Subject: Welcome 2007!]4542.mim
[1] Archivtyp: MIME
--> greeting postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Thunderbird\Profiles\s71jjuj7.default\Mail\pop.gmx.net\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <4596A24C.5050406@cataerobics.com>][From: catty-cornered <hikcj@cataerobics.com>][Subject: Happy New Year!]228.mim
[1] Archivtyp: MIME
--> Postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
--> Mailbox_[Message-ID: <45977C92.9010204@gmbishop.plus.com>][From: urban renewal <nfjcx@gmbishop.plus.com>][Subject: Fun Filled New Year!]230.mim
[1] Archivtyp: MIME
--> greeting postcard.exe
[FUND] Ist das Trojanische Pferd TR/Small.DBY.J
[WARNUNG] Die Datei wurde ignoriert.
C:\Programme\Sicherheitstools\Avenger\avenger.exe
[FUND] Enthält Signatur des SPR/Avenger-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Programme\Sicherheitstools\Avenger\avenger.zip
[0] Archivtyp: ZIP
--> avenger.exe
[FUND] Enthält Signatur des SPR/Avenger-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\QooBox\Quarantine\C\WINDOWS\system32\vtsqn.dll.vir
[FUND] Ist das Trojanische Pferd TR/Mon.Virtumonde.II
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hh.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\itss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\locator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ole32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\osk.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srv.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msexch40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msexcl40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msjet40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msjetol1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msjetoledb40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msjint40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msjter40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msjtes40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msltus40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\mspbde40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msrd2x40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msrd3x40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msrepl40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\mstext40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\mswdat10.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\mswstr10.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\msxbde40.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB829558$\vbajet32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB833998$\sxs.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <INSTALL>


Ende des Suchlaufs: Montag, 6. August 2007 21:27
Benötigte Zeit: 2:00:33 min

Der Suchlauf wurde vollständig durchgeführt.

10670 Verzeichnisse wurden überprüft
498325 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
1 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
56 Dateien konnten nicht durchsucht werden
498313 Dateien ohne Befall
13118 Archive wurden durchsucht
62 Warnungen
1 Hinweise
0 Versteckte Objekte wurden gefunden


EDIT 3:

Habe Vundo angewendet - er fand keine Viren ;) ;)) Wow, echt Klasse ^^ Jetzt noch der Onlinescan und die HJT-Logdatei und dann warte ich mal ab, was du noch so findest ;)

Zwischendrin nochmal ein dickes Dankeschön - ist schon ein super Gefühl nach dem Neustart nicht mehr das andauernde "piep" zu hören und immer "Virus oder unerwünschtes Programm gefunden" zu lesen.... ;)


Und EDIT Nr. 4:

Hey,
Also nun habe ich versucht mit dem Onlinescan zu scannen und war dann kurze Zeit afk (weil ich ferngesehn hab) und als ich wieder kam, war der Internet Explorer geschlossen und kein Anschein davon, was gescannt wurde, ob er fertig ist etc... Ich also wieder den Inetexplorer angemacht, dasselbe nochmal und erst blieb ich am pc sitzen (bis es auf halb war) und dann musste ich mal kurz auf die Toilette und als ich wieder kam, war es wieder weg... Ich komm mir veräppelt vor ^^

naja, jedenfalls hier nochmal nen HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:23:00, on 06.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe
C:\Programme\QuickTime\qttask.exe
C:\Downloads\Daemon Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\Programme\Sicherheitstools\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ogame.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Downloads\Daemon Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe
O4 - Global Startup: Ruhezeit-Aktivität vorziehen.bat
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Icq Lite\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.moove.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE1E73E-B61C-4984-B30C-B6B701051201}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
Dieser Beitrag wurde am 06.08.2007 um 22:31 Uhr von dickbrave editiert.
Seitenanfang Seitenende
07.08.2007, 07:48
Member
Avatar Chris4You

Beiträge: 694
#10 Hi,

das nicht alles gelöscht wurde liegt wohl daran, das combofix etc.
vorher schon zugeschlagen hatte, sie aber im HJ-Log noch zu
sehen waren...

Bitte online Prüfen (wie weist Du ja jetzt ;o):
C:\WINDOWS\System32\Shdocvw.dll <- kommt zweimmal mit unterschiedlicher classIDs vor
C:\WINDOWS\SYSTEM32\VundoFixSVC.exe <- ein Fix als Dienst???? Da isch was faul!


HJ-Fixen:
O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - Global Startup: TrayMin210.exe.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing)
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Für den Fall, dass C:\WINDOWS\SYSTEM32\VundoFixSVC.exe erkannt wird:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
(-> also: gleich yes :o)

PC neustarten

Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren


Ewido hat noch einen Microscanner der recht gut ist:
Ewido Micro: http://downloads.ewido.net/ewido_micro.exe

Installiere den mal, lass ihn laufen und poste das Log.

Chris
Seitenanfang Seitenende
07.08.2007, 09:24
...neu hier

Beiträge: 6
#11 Datei VundoFixSVC.exe empfangen 2007.08.07 09:16:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.06 -
Authentium 4.93.8 2007.08.06 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.06 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.06 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5039 2007.08.07 -
Ewido 4.0 2007.08.06 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.8 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5091 2007.08.06 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2440 2007.08.06 -
Norman 5.80.02 2007.08.06 -
Panda 9.0.0.4 2007.08.06 -
Prevx1 V2 2007.08.07 -
Rising 19.35.11.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
Webwasher-Gateway 6.0.1 2007.08.07 -
weitere Informationen
File size: 24576 bytes
MD5: eab5894bcebfd64f367cd3c54a1a573c
SHA1: 1e4e896b83198d76145f90090d858b5ddd4d2b07

--------------------------------------------------------

Datei Shdocvw.dll empfangen 2007.08.07 09:16:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 40 und 58 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.07 -
AntiVir 7.4.0.57 2007.08.06 -
Authentium 4.93.8 2007.08.06 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.06 -
BitDefender 7.2 2007.08.07 -
CAT-QuickHeal 9.00 2007.08.06 -
ClamAV 0.91 2007.08.07 -
DrWeb 4.33 2007.08.07 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5039 2007.08.07 -
Ewido 4.0 2007.08.06 -
FileAdvisor 1 2007.08.07 -
Fortinet 2.91.0.0 2007.08.07 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.07 -
Ikarus T3.1.1.8 2007.08.07 -
Kaspersky 4.0.2.24 2007.08.07 -
McAfee 5091 2007.08.06 -
Microsoft 1.2704 2007.08.07 -
NOD32v2 2440 2007.08.06 -
Norman 5.80.02 2007.08.06 -
Panda 9.0.0.4 2007.08.06 -
Prevx1 V2 2007.08.07 -
Rising 19.35.11.00 2007.08.07 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.07 -
TheHacker 6.1.7.163 2007.08.07 -
VBA32 3.12.2.2 2007.08.07 -
VirusBuster 4.3.26:9 2007.08.06 -
Webwasher-Gateway 6.0.1 2007.08.07 -
weitere Informationen
File size: 1494528 bytes
MD5: 607187ae34c1be998709b2f4be0e49b8
SHA1: d3c19498f97793b53aab731b6db32b70d96400f8

-------------------------------------------------------

Backups erfolgreich gelöscht

-------------------------------------------------------

HJ gefixt und jetzt lass ich ewido laufen, während ich in der schule bin und wenn ich dann wieder da biN (so gegen 3) dann poste ich den log ;)

Bis dann,

Sascha

EDIT>:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@2o7[1].txt
Risk: Medium

Name: TrackingCookie.71i
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@adicqserver.71i[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Webtrends
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@m.webtrends[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@sevenoneintermedia.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@ssl-hints.netflame[1].txt
Risk: Medium

Name: Adware.DesktopSpyAgent
Path: HKLM\SOFTWARE\KMiNT21
Risk: Medium

Name: Adware.DesktopSpyAgent
Path: HKLM\SOFTWARE\KMiNT21\GoldenKeylogger
Risk: Medium

Name: Adware.HotBar
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ISTbarISTbar
Risk: Medium

Name: Adware.InternetOptimizer
Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Rotue
Risk: Medium

Name: Adware.TopConverting
Path: HKLM\SOFTWARE\TopConverting
Risk: Medium

Name: Adware.BiSpy
Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\mxTarget.dll.q_2CFA002_q
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.6:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.7:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.8:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.11:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: :mozilla.33:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.36:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.37:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: :mozilla.39:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: :mozilla.40:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: :mozilla.42:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: :mozilla.48:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Popularix
Path: :mozilla.51:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.22:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.23:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: :mozilla.24:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: :mozilla.26:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtiger
Path: :mozilla.33:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Adtiger
Path: :mozilla.40:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.54:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.2o7
Path: :mozilla.55:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: :mozilla.81:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: :mozilla.92:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt
Risk: Medium

Name: Adware.PowerScan
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Startmenü\Programme\Power Scan
Risk: Medium

Name: Adware.PowerScan
Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Startmenü\Programme\Power Scan\Power Scan.lnk
Risk: Medium

Name: Adware.Virtumonde
Path: C:\Downloads\Counterstrike 1.6 + extras\GELD VERDIENEN EINFACH GENIAL ABSOLUT LEGAL\spam_counterstrike_1_1a_keygen.exe
Risk: Medium

Name: Adware.WinAD
Path: C:\Program Files\Windows ControlAd\WinCtlAd.exe
Risk: Medium

Name: Adware.WinAD
Path: C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
Risk: Medium

Name: Adware.WinAD
Path: C:\Program Files\Windows FormatAd\WinForm.exe
Risk: Medium

Name: Adware.WinAD
Path: C:\Program Files\Windows ServeAd\WinAtServ.dll
Risk: Medium

Name: Adware.WinAD
Path: C:\Program Files\Windows ServeAd\WinServAd.exe
Risk: Medium

Name: Adware.WinAD
Path: C:\Program Files\Windows ServeAd\WinServSuit.exe
Risk: Medium

Name: Adware.180Solutions
Path: C:\Program Files\zango\zangohook.dll
Risk: Medium

Name: Worm.AimVen
Path: C:\Programme\AIM95\icbmft.ocm
Risk: High

Name: Adware.180Solutions
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP533\A0137564.exe
Risk: Medium

Name: Adware.BiSpy
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP541\A0137657.dll
Risk: Medium

Name: Adware.BiSpy
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137691.exe
Risk: Medium

Name: Adware.BiSpy
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137692.dll
Risk: Medium

Name: Adware.180Solutions
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137697.dll
Risk: Medium

Name: Adware.TotalVelocity
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137710.exe
Risk: Medium

Name: Trojan.Small
Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP552\A0142005.exe
Risk: High
Dieser Beitrag wurde am 07.08.2007 um 14:55 Uhr von dickbrave editiert.
Seitenanfang Seitenende
12.08.2007, 20:32
...neu hier

Beiträge: 6
#12 *push* ^^
Chris ? Bist du noch da oder was is los ?
Seitenanfang Seitenende
13.08.2007, 08:04
Member
Avatar Chris4You

Beiträge: 694
#13 Hi,

nur am Wochenende mit was anderem beschäftigt :o)...

Hi, die gefunden Sachen solltest Du deinstallieren (Adware) oder bereinigen
lassen. Die Systemwiederherstellung muß noch geputzt werden (da hängt noch ein Trojaner rum):

Systemwiederherstellung löschen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Chris
Seitenanfang Seitenende
13.08.2007, 21:47
...neu hier

Beiträge: 6
#14 Hey Chris,

Hab die gefundenen Sachen alle deinstalliert/bereinigt.

Habe Systemwiederherstellung automatisch löschen lassen (einmal den Trojaner per Ewido und dann wurde durch die deaktivierung alles gelöscht).
Anschließend wieder aktiviert (dabei hat er nen Systemwiederherstellungspunkt erstellt)
Und nochmal manuell einen erstellt.

Ich denke damit wars dass nun jetzt, oder ?

Ich möchte mich echt total bei dir bedanken, für mich war es ja nicht soviel Arbeit wie für dich !!!
Wenn du mir zum Schluss noch sagen könntest, wie ich mir die Viren möglichst vom Leib halten könnte, wäre ich dir unendlich dankbar ;) (naja, nbissel übertrieben, aber ich bin dir echt super dankbar)

Weil ich weiss net wie ich die Viren erkenne, wenn sie bei Antivir net angezeigt werden.
Wenn ich bei Antivir ne Meldung krieg, versuch ich den Virus einfach zu löschen (per Button "Löschen") und ansonsten per Ewido oder so, falls das net geht mit Avenger, richtig ?
Aber wenn Antivir sagt "alles okke" dann heisst das ja noch nicht, das alles okke ist, also von daher mit Ewido nochmal durchchecken (Spybot S&D für Spyware) ob er noch was findet, richtig ?

Bitte berichtige mich, dann kann ich dir etwas seltener auf die Nerven gehen ;))

Bis dann,
Sascha
Seitenanfang Seitenende
14.08.2007, 07:42
Member
Avatar Chris4You

Beiträge: 694
#15 Hi,

jetzt noch die Backups von Avenger und Co löschen (soweit vorhanden):
Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren


Hier mein Rat:
Das System immer auf dem neusten Stand halten, und keine "zweifelhaften" Seiten besuchen. Suspekte Programme online von mehreren Scannern prüfen lassen, einen extra Surfer-Account anlegen der über reduzierte Rechte (keine Adminrechte) verfügt.

Und als letztes: Den IE/Firefox in einer Sandbox laufen lassen:
http://www.sandboxie.com/

Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: