TR/Mon.Virtumonde.II |
||
---|---|---|
#0
| ||
01.08.2007, 17:51
...neu hier
Beiträge: 2 |
||
|
||
02.08.2007, 07:21
Member
Beiträge: 694 |
#2
Hi,
nicht nur alleine die, sondern noch: O20 - Winlogon Notify: ddaby - D:\WINDOWS\system32\ddaby.dll (file missing) O20 - Winlogon Notify: jkkhggd - D:\WINDOWS\SYSTEM32\jkkhggd.dll O20 - Winlogon Notify: pmkji - D:\WINDOWS\system32\pmkji.dll O20 - Winlogon Notify: ssqoppp - ssqoppp.dll (file missing) O20 - Winlogon Notify: ssttq - D:\WINDOWS\system32\ssttq.dll (file missing) ... Bitte online prüfen lassen und das Ergebniss posten: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat D:\WINDOWS\system32\mnwohgey.dllWenn es das ich was ich vermute, dann hast Du einige Trojaner auf Deinem Rechner, d. h. der Rechner ist stark verseucht! (Eventuell ist neu aufsetzten besser!). Führe das hier aus: Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html Und danach das hier: http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) Dann erledigen wir den Rest (if i had the time...) Chris Dieser Beitrag wurde am 02.08.2007 um 07:27 Uhr von Chris4You editiert.
|
|
|
||
02.08.2007, 14:34
...neu hier
Themenstarter Beiträge: 2 |
#3
hallo...
danke für die Hilfe, aber ich befolge deinen Rat den PC neu aufzusetzen...ist glaube ich besser |
|
|
||
02.08.2007, 14:46
Member
Beiträge: 694 |
#4
Hi,
da es Einige in der Vergangenheit gab, die nach dem Neuaufsetzen des Rechners gleich wieder bis über beide Ohren verseucht waren: - Alles erforderliche vorher runterladen (Win-Updates, Virenscanner, Firewall etc) und sichern (CD/DVD)), von einem virenfreien PC - Installieren OHNE Internetanbindung und zwar komplett (Updates, Virenscanner, Firewall) - Dann erst online gehen! http://board.protecus.de/t13020.htm Chris |
|
|
||
05.08.2007, 14:37
...neu hier
Beiträge: 6 |
#5
Okay, da ich keinen X.ten Thread aufmachen möchte, poste ich hier einfach mein Anliegen hierrein.
Ich bekomme von Antivir dauernd (beim Anmelden dauernd, nachher seltener) die Meldung "TR/Mon.Virtumonde.II", die Datei heisst immer (bisher kam keine andere Meldung) vtsqn.dll. HJT: Logfile of HijackThis v1.99.1 Scan saved at 14:35, on 2007-08-05 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ups.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\VM_STI.EXE C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe C:\Downloads\Daemon Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Sicherheitstools\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ogame.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file) R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll (file missing) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing) O2 - BHO: (no name) - {5DEDB4C5-299A-4C82-88DE-85DE8D637863} - C:\WINDOWS\system32\vtsqn.dll O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {792A3DCE-6242-4C8B-B172-2693B1656E30} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [Sbjzv] C:\Program Files\Xkvuiug\Vnlv.exe O4 - HKLM\..\Run: [j5231934] rundll32 C:\WINDOWS\system32\j5231934.dll sook O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [DAEMON Tools] "C:\Downloads\Daemon Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe O4 - Global Startup: Ruhezeit-Aktivität vorziehen.bat O4 - Global Startup: TrayMin210.exe.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Icq Lite\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm368XXDE O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing) O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: *.moove.com O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE1E73E-B61C-4984-B30C-B6B701051201}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: awtsr - C:\WINDOWS\system32\awtsr.dll (file missing) O20 - Winlogon Notify: awtutuv - awtutuv.dll (file missing) O20 - Winlogon Notify: ddabb - C:\WINDOWS\system32\ddabb.dll (file missing) O20 - Winlogon Notify: geeby - C:\WINDOWS\system32\geeby.dll (file missing) O20 - Winlogon Notify: mljji - C:\WINDOWS\system32\mljji.dll (file missing) O20 - Winlogon Notify: mljjj - C:\WINDOWS\system32\mljjj.dll (file missing) O20 - Winlogon Notify: opnmnmj - C:\WINDOWS\SYSTEM32\opnmnmj.dll O20 - Winlogon Notify: pmkhf - C:\WINDOWS\system32\pmkhf.dll (file missing) O20 - Winlogon Notify: pmkhi - C:\WINDOWS\system32\pmkhi.dll (file missing) O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll O20 - Winlogon Notify: vtsqr - C:\WINDOWS\system32\vtsqr.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\nxspjavl.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Ich hoffe, mir kann dort einer helfen und ich muss nicht den PC neu aufsetzen, denn ich habe keine Möglichkeit, mir die Virenscanner etc. von nem virenfreien pc zu holen, ist der einzige im Haushalt... MfG und Danke im Vorraus, Sascha |
|
|
||
06.08.2007, 12:12
Member
Beiträge: 694 |
#6
Hi,
bitte das hier zuerst: Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html Danach http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) Das sollte eigentlich reichen um Ihn den Garaus zu machen.... chris Prüfen ob es die Files O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll O4 - HKLM\..\Run: [j5231934] rundll32 C:\WINDOWS\system32\j5231934.dll O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitia lSetup1.0.0.8.exe O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab erwischt hat, sonst über HJ-fixen; Per Hand mit HJ-fixen: allen Einträge (bis auf den WgaLogon.dll) im Bereich O20 - Winlogon Notify(z, B.:O20 - Winlogon Notify: awtsr - C:\WINDOWS\system32\awtsr.dll (file missing)) Mache erst dann das HJ-Log und poste es! Chris |
|
|
||
06.08.2007, 15:09
...neu hier
Beiträge: 6 |
#7
Beim Anwenden von Vundofix fährt mein PC immer automatisch runter. Habe es jetzt 3 Mal probiert, keines mit Erfolg.
Es erscheint ein Bluescreen mit folgender Aufschrift: "Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird. Ein für das System wesentlicher Prozess oder Thread wurde unerwarteterweise abgebrochen der beendet. Wenn sie diesen Fehler zum ersten mal sehen,.... Technische Information: *** STOP: 0x000000F4 (0x00000003, 0x8200E7F0, 0x8200E944, 0x805FA160)" Ich weiss nicht, ob es jetzt trotzdem Sinn macht, den Rest zu machen (Clean Up etc.) aber ich mache es einfach mal und poste die Logs... Edit: (gleich folgt noch ein Edit, mit der Prüfung der anderen Dateien) So, hier der rest: Combofix: ComboFix 07-07-30.2 - "Sascha Kimmel" 2007-08-06 15:11:06.1 [GMT 2:00] - NTFS Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.Wahr * Created a new restore point (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\amswyxbq.dll C:\WINDOWS\system32\fjyqggxm.dll C:\WINDOWS\system32\qbxywsma.ini C:\WINDOWS\system32\nqstv.bak2 C:\WINDOWS\system32\nqstv.ini C:\WINDOWS\system32\nqstv.ini2 C:\WINDOWS\system32\nqstv.tmp C:\WINDOWS\system32\vtsqn.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOKUME~1\SASCHA~1\ANWEND~1.\macromedia\Flash Player\#SharedObjects\AX4GKUW8\www.broadcaster.com C:\DOKUME~1\SASCHA~1\ANWEND~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com C:\DOKUME~1\SASCHA~1\ANWEND~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol C:\WINDOWS\system32\f3PSSavr.scr C:\WINDOWS\system32\nvs2.inf C:\WINDOWS\system32\sysdm.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 ))))))))))))))))))))))))))))))) 2007-08-06 14:20 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2007-08-06 13:31 <DIR> d----c--- C:\VundoFix Backups 2007-08-02 19:37 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys 2007-08-02 16:24 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-02 15:56 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft 2007-08-02 15:23 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-08-02 15:02 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan 2007-08-02 12:56 <DIR> d----c--- C:\Programme\Sicherheitstools 2007-07-31 18:35 <DIR> d----c--- C:\Programme\Screenvideo 2007-07-31 17:15 6,486 ---hs---- C:\WINDOWS\system32\bbadd.ini2 2007-07-31 13:05 6,486 ---hs---- C:\WINDOWS\system32\bbadd.bak2 2007-07-30 22:29 6,486 ---hs---- C:\WINDOWS\system32\bbadd.bak1 2007-07-30 22:14 <DIR> d----c--- C:\Programme\Irfanview 2007-07-30 10:06 <DIR> d----c--- C:\DOKUME~1\MARTIN~1.HNP\ANWEND~1\ICQ Toolbar 2007-07-28 20:35 <DIR> d----c--- C:\Programme\Hamachi 2007-07-28 13:56 6,547 ---hs---- C:\WINDOWS\system32\jjjlm.bak2 2007-07-27 23:06 6,486 ---hs---- C:\WINDOWS\system32\jjjlm.bak1 2007-07-27 12:00 6,542 ---hs---- C:\WINDOWS\system32\ybeeg.ini2 2007-07-24 13:18 6,542 ---hs---- C:\WINDOWS\system32\ybeeg.bak2 2007-07-23 18:38 6,526 ---hs---- C:\WINDOWS\system32\ybeeg.bak1 2007-07-20 23:22 6,486 ---hs---- C:\WINDOWS\system32\rqstv.bak2 2007-07-19 11:13 6,362 ---hs---- C:\WINDOWS\system32\rqstv.bak1 2007-07-17 23:55 6,402 ---hs---- C:\WINDOWS\system32\ihkmp.bak2 2007-07-17 00:22 6,402 ---hs---- C:\WINDOWS\system32\ihkmp.ini2 2007-07-16 11:55 6,362 ---hs---- C:\WINDOWS\system32\ihkmp.bak1 2007-07-16 03:26 679,936 --a------ C:\WINDOWS\system32\D3DX81ab.dll 2007-07-16 00:12 <DIR> d----c--- C:\Programme\WinPcap 2007-07-14 12:26 <DIR> d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Gaijin Ent 2007-07-14 12:25 <DIR> d----c--- C:\Programme\Zylom Games 2007-07-14 12:24 6,362 ---hs---- C:\WINDOWS\system32\ijjlm.bak2 2007-07-14 03:59 6,362 ---hs---- C:\WINDOWS\system32\ijjlm.ini2 2007-07-13 21:26 6,362 ---hs---- C:\WINDOWS\system32\ijjlm.bak1 2007-07-09 14:50 <DIR> d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\ICQ Toolbar 2007-07-09 14:48 <DIR> d----c--- C:\Programme\ICQToolbar 2007-07-09 14:46 <DIR> d----c--- C:\Programme\ICQ6 2007-07-09 14:46 <DIR> d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\InstallShield 2007-07-07 22:54 <DIR> d----c--- C:\Programme\Teamspeak2_RC2 2007-07-07 12:53 6,362 ---hs---- C:\WINDOWS\system32\rstwa.bak2 2007-07-07 00:20 57,599 ---hs---- C:\WINDOWS\system32\rstwa.ini2 2007-07-07 00:14 6,362 ---hs---- C:\WINDOWS\system32\rstwa.bak1 2007-07-07 00:09 268,579 --a------ C:\WINDOWS\system32\yxrvpda_nav.dat 2007-07-07 00:08 86,016 --a------ C:\WINDOWS\system32\tuvuvut.exe 2007-07-07 00:08 6,220 --a------ C:\WINDOWS\system32\yxrvpda.dat 2007-07-07 00:08 350,241 -----c--- C:\WINDOWS\system32\gxkexfwj.exe 2007-07-07 00:08 287,254 --a------ C:\WINDOWS\system32\opnmnmj.dll 2007-07-07 00:08 1,914 --a------ C:\WINDOWS\system32\yxrvpda_navps.dat 2007-07-06 23:41 <DIR> d----c--- C:\Programme\Ubisoft 2007-07-06 23:08 <DIR> d----c--- C:\Programme\Sudoku Meister (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-06 14:59 --------- d----c--- C:\Programme\Thunderbird 2007-08-06 14:57 74996 --a--c--- C:\WINDOWS\system32\perfc007.dat 2007-08-06 14:57 415470 --a--c--- C:\WINDOWS\system32\perfh007.dat 2007-08-05 23:07 --------- d----c--- C:\Programme\Warcraft III 2007-08-04 02:24 --------- d-------- C:\Programme\LimeWire 2007-08-03 11:29 --------- d-------- C:\Programme\TV Media 2007-08-02 14:11 --------- d-------- C:\Programme\Telekom 2007-08-02 03:55 --------- d--h----- C:\Programme\InstallShield Installation Information 2007-08-01 21:22 0 --a--c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\tvmknwrd.dll 2007-07-28 22:35 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Hamachi 2007-07-28 20:37 25544 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2007-07-27 16:43 --------- d----c--- C:\Programme\Windows Live Safety Center 2007-07-27 15:24 50288 --a--c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\wklnhst.dat 2007-07-14 13:40 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Zylom 2007-07-09 15:07 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\Skype 2007-07-09 14:48 --------- d----c--- C:\Programme\ICQLite 2007-07-09 14:48 --------- d----c--- C:\DOKUME~1\SASCHA~1\ANWEND~1\ICQ 2007-07-05 01:16 --------- d----c--- C:\Programme\Windows Live 2007-07-05 01:16 --------- d----c--- C:\Programme\Messenger Plus! Live 2007-07-04 17:37 --------- d----c--- C:\Programme\Simple ScreenShot 2007-07-04 03:43 21982 --a--c--- C:\WINDOWS\mozver.dat 2007-07-03 16:57 --------- d----c--- C:\Programme\Philips 2007-06-26 11:51 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-06-24 19:35 --------- d----c--- C:\Programme\EA GAMES 2007-06-20 22:02 927616 ---hs---- C:\WINDOWS\system32\fhkmp.ini2 2007-06-20 20:01 927905 ---hs---- C:\WINDOWS\system32\fhkmp.bak2 2007-06-20 15:41 --------- d----c--- C:\Programme\Avira Antivir 2007-06-06 12:43 --------- d----c--- C:\Programme\ICQ Away Reader 2007-05-28 15:13 733260 ---hs---- C:\WINDOWS\system32\fhkmp.bak1 2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}] 2007-07-07 00:08 287254 --a------ C:\WINDOWS\system32\opnmnmj.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{792A3DCE-6242-4C8B-B172-2693B1656E30}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{02FFC86E-283E-4FAA-95D6-ADDCA024F30A}"= C:\Programme\Games\tbGame.dll [ ] [-HKEY_CLASSES_ROOT\CLSID\{02FFC86E-283E-4FAA-95D6-ADDCA024F30A}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sbjzv"="C:\Program Files\Xkvuiug\Vnlv.exe" [] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "UnlockerAssistant"="C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19] "TV Media"="C:\Programme\TV Media\Tvm.exe" [] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 11:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="C:\Downloads\Daemon Tools\daemon.exe" [2006-11-12 12:48] "TV Media"="C:\Programme\TV Media\Tvm.exe" [] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56] phase6_17_erinnerung.lnk - C:\Programme\phase6\phase6_17\WinStart\WinStart.exe [2005-07-26 12:23:22] Ruhezeit-Aktivit„t vorziehen.bat [2007-04-21 12:00:20] TrayMin210.exe.lnk - C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe [2007-07-03 16:57:29] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "RunStartupScriptSync"=0 (0x0) "SynchronousMachineGroupPolicy"=0 (0x0) "SynchronousUserGroupPolicy"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"=1 (0x1) "LinkResolveIgnoreLinkInfo"=0 (0x0) "NoResolveSearch"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"=0 (0x0) "NoSaveSettings"=0 (0x0) "NoRecentDocsHistory"=1 (0x1) "NoLowDiskSpaceChecks"=1 (0x1) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\opnmnmj.dll [2007-07-07 00:08 287254] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr] C:\WINDOWS\system32\awtsr.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv] awtutuv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb] C:\WINDOWS\system32\ddabb.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby] C:\WINDOWS\system32\geeby.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji] C:\WINDOWS\system32\mljji.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj] C:\WINDOWS\system32\mljjj.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmnmj] opnmnmj.dll 2007-07-07 00:08 287254 C:\WINDOWS\system32\opnmnmj.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf] C:\WINDOWS\system32\pmkhf.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi] C:\WINDOWS\system32\pmkhi.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr] C:\WINDOWS\system32\vtsqr.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\alchem] C:\WINDOWS\alchem.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] "C:\Programme\BearShare\BearShare.exe" /pause [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CARPService] carpserv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\moffice.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Games toolbar] rundll32.exe "C:\PROGRA~1\Games\tbGame.dll" DllShowTB [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Glass2k] E:\SF\vista\glass2k.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] C:\PROGRA~1\MyWebSearch\bar\1.bin\mwsoemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell] C:\Programme\Napster\napster.exe /systray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OEM-Reset] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\qhlhdqslvlhre] C:\WINDOWS\System32\xwiqrnfv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService] rundll32.exe "C:\WINDOWS\system32\amswyxbq.dll",setvm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] C:\Programme\Spybot S&D\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] "c:\downloads\counterstrike 1.6 + extras\steam\steam.exe" -silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SteamServer] C:\Valve\UniLauncher\SteamServer\SteamServer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tpcupdater] C:\WINDOWS\updatetc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TV Media] C:\Programme\TV Media\Tvm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer] VTTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinDSL MTU-Adjust] WinDSL_MTU.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe] C:\Programme\Keylogger\Free KGB Key Logger\winlogons.exe R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys R0 sfvfs02;StarForce Protection VFS Driver (version 2.x);C:\WINDOWS\system32\drivers\sfvfs02.sys R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys R2 ACEDRV09;ACEDRV09;\??\C:\WINDOWS\system32\drivers\ACEDRV09.sys R2 CAPI20;Eumex 604PC HomeNet;C:\WINDOWS\system32\Drivers\CAPI20.SYS R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys R2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Programme\Analog Devices\SoundMAX\SMAgent.exe R2 StreamDispatcher;StreamDispatcher;C:\WINDOWS\system32\DRIVERS\strmdisp.sys R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys R3 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\moufiltr.sys R3 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINDOWS\system32\Drivers\RootMdm.sys R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);C:\WINDOWS\system32\DRIVERS\WinDSL.sys R3 ZSMC301b;Philips SPC210NC Webcam;C:\WINDOWS\system32\Drivers\usbVM31b.sys S2 spupdsvc;Windows Service Pack Installer update service;C:\WINDOWS\system32\spupdsvc.exe S3 Bridge;MAC-Brcke;C:\WINDOWS\system32\DRIVERS\bridge.sys S3 BridgeMP;MAC-Brckenminiport;C:\WINDOWS\system32\DRIVERS\bridge.sys S3 dot4;MS IEEE-1284.4-Treiber;C:\WINDOWS\system32\DRIVERS\Dot4.sys S3 Dot4Print;Druckerklassentreiber fr IEEE-1284.4;C:\WINDOWS\system32\DRIVERS\Dot4Prt.sys S3 dot4usb;Dot4USB-Filter Dot4USB Filter;C:\WINDOWS\system32\DRIVERS\dot4usb.sys S3 dtwmnic5;Telekom Eumex 704PC DSL;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber;C:\WINDOWS\system32\DRIVERS\fetnd5.sys S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 GMSIPCI;GMSIPCI;\??\E:\INSTALL\GMSIPCI.SYS S3 nm;Netzwerkmonitortreiber;C:\WINDOWS\system32\DRIVERS\NMnt.sys S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys S3 viagfx;viagfx;C:\WINDOWS\system32\DRIVERS\vtmini.sys S3 wanatw;WAN Miniport (ATW);C:\WINDOWS\system32\DRIVERS\wanatw4.sys S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0321fbaf-e168-11db-a7cf-454b47000031}] AutoRun\command- K:\SETUP.EXE -autorun Contents of the 'Scheduled Tasks' folder 2007-08-04 13:36:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe 2007-08-06 13:33:00 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-06 15:31:31 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-06 15:34:13 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-08-06 15:33 --- E O F --- datFind: System32: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94F5-8BC9 Verzeichnis von C:\WINDOWS\system32 06.08.2007 15:37 375 mlnmp.ini 06.08.2007 15:37 266.304 pmnlm.dll 06.08.2007 15:33 401.064 perfh009.dat 06.08.2007 15:33 62.344 perfc009.dat 06.08.2007 15:33 415.470 perfh007.dat 06.08.2007 15:33 74.996 perfc007.dat 06.08.2007 15:33 966.074 PerfStringBackup.INI 06.08.2007 14:20 24.576 VundoFixSVC.exe 02.08.2007 16:31 1.914 yxrvpda_navps.dat 02.08.2007 16:30 6.220 yxrvpda.dat 02.08.2007 14:51 7.680 Thumbs.db 02.08.2007 13:47 143 mcrh.tmp 01.08.2007 01:35 6.486 bbadd.ini2 31.07.2007 13:06 6.486 bbadd.tmp 31.07.2007 13:05 6.486 bbadd.bak2 30.07.2007 22:29 6.486 bbadd.bak1 29.07.2007 03:03 39.075 jjjlm.ini 28.07.2007 13:56 6.547 jjjlm.bak2 27.07.2007 23:06 6.486 jjjlm.bak1 27.07.2007 18:19 6.542 ybeeg.ini2 27.07.2007 11:33 6.542 ybeeg.bak2 26.07.2007 20:24 268.579 yxrvpda_nav.dat 26.07.2007 02:22 6.769 ybeeg.ini 25.07.2007 10:38 24.486 ybeeg.tmp 23.07.2007 18:38 6.526 ybeeg.bak1 22.07.2007 20:22 1.158 wpa.dbl 22.07.2007 18:39 279.552 swreg.exe 21.07.2007 00:34 6.486 rqstv.ini 20.07.2007 23:22 6.486 rqstv.bak2 19.07.2007 23:13 6.362 rqstv.bak1 18.07.2007 18:59 6.402 ihkmp.ini2 18.07.2007 10:37 6.402 ihkmp.bak2 17.07.2007 21:22 5.214 jupdate-1.6.0_02-b06.log 17.07.2007 05:07 7.600 ihkmp.tmp 17.07.2007 05:07 22.936 ihkmp.ini 16.07.2007 23:55 6.362 ihkmp.bak1 16.07.2007 03:26 6.362 ijjlm.ini2 15.07.2007 22:51 6.362 ijjlm.bak2 14.07.2007 04:12 6.379 ijjlm.ini 14.07.2007 03:59 6.362 ijjlm.tmp 13.07.2007 21:26 6.362 ijjlm.bak1 12.07.2007 02:22 139.264 javaws.exe 12.07.2007 02:22 69.632 javacpl.cpl 12.07.2007 01:22 135.168 javaw.exe 12.07.2007 01:22 135.168 java.exe 08.07.2007 03:10 57.599 rstwa.ini2 07.07.2007 14:21 920.580 plwauxdy.ini 07.07.2007 12:53 6.362 rstwa.bak2 07.07.2007 00:50 23.244 rstwa.ini 07.07.2007 00:20 10.063 rstwa.tmp 07.07.2007 00:14 6.362 rstwa.bak1 07.07.2007 00:08 287.254 opnmnmj.dll 07.07.2007 00:08 86.016 tuvuvut.exe 07.07.2007 00:08 350.241 gxkexfwj.exe 06.07.2007 13:23 920.400 codxtptv.ini 06.07.2007 13:14 920.340 jergbocw.ini 05.07.2007 13:50 920.220 ivtpwwce.ini 05.07.2007 00:10 920.100 mtststod.ini 04.07.2007 16:31 919.920 gttfgiho.ini 04.07.2007 12:29 919.800 ogrorfge.ini 04.07.2007 12:23 950.913 cmvjcijn.ini 04.07.2007 12:21 298.048 FNTCACHE.DAT 03.07.2007 18:31 912.910 ruhxmgcw.ini 02.07.2007 12:16 1.003.133 qvnpfrqp.ini 01.07.2007 21:40 4.254 jupdate-1.6.0_01-b06.log 01.07.2007 19:56 976.108 vjjtgsjy.ini 30.06.2007 12:25 975.989 myqttxik.ini 29.06.2007 11:15 975.869 brbdxqhk.ini 29.06.2007 11:09 976.571 otxcseek.ini 28.06.2007 19:55 915.786 ppsmgklk.ini 28.06.2007 19:46 915.726 qxhwsjla.ini 28.06.2007 11:44 915.606 rauphdel.ini 28.06.2007 11:35 915.546 avrbmfbh.ini 28.06.2007 09:57 16.256.984 MRT.exe 27.06.2007 13:48 915.366 qeuerdmv.ini 26.06.2007 11:51 98.304 CmdLineExt.dll 26.06.2007 11:51 915.246 mbnymsul.ini 25.06.2007 12:15 915.127 vpvvgked.ini 24.06.2007 14:04 825 vwwhiyyd.ini 24.06.2007 13:58 765 dxuencgx.ini 24.06.2007 00:27 645 vxfxfqjk.ini 23.06.2007 12:29 525 usyvukmk.ini 22.06.2007 11:53 405 unjxphty.ini 21.06.2007 09:57 907.311 ppvdhhvk.ini 21.06.2007 02:29 950.630 qtstv.tmp 21.06.2007 01:30 900.663 raxjfdlv.ini 20.06.2007 22:02 927.616 fhkmp.ini2 20.06.2007 20:01 927.905 fhkmp.bak2 20.06.2007 12:12 900.580 ivgwfwsx.ini 20.06.2007 12:10 898.776 gygxebxq.ini 19.06.2007 13:52 898.546 dwnfqrqp.ini 18.06.2007 17:13 465 dkcdsdhh.ini 18.06.2007 14:10 405 rvllncux.ini 16.06.2007 01:09 922.489 depxyruy.ini 16.06.2007 01:06 922.429 yqfkaapu.ini 15.06.2007 20:40 922.310 cowhexuc.ini 15.06.2007 15:18 765 cctgjvgq.ini 15.06.2007 10:20 645 idlwtyer.ini 14.06.2007 13:27 525 ixjxkdpi.ini 13.06.2007 22:08 405 bxfldsid.ini 13.06.2007 13:35 948.640 yxbneqme.ini 13.06.2007 13:35 948.581 qlsprnag.ini 12.06.2007 16:57 943.928 snwnwgpa.ini 11.06.2007 15:24 1.091.754 modyaeuw.ini 11.06.2007 15:24 1.091.754 gwdaepom.ini 04.06.2007 17:21 1.102.636 iiqcrosp.ini 02.06.2007 09:59 1.604 glhhwtxy.ini 28.05.2007 15:13 733.260 fhkmp.bak1 18.05.2007 20:12 2.534.337 hmrwgtev.ini 16.05.2007 17:11 683.520 inetcomm.dll 11.05.2007 18:28 3.386 spupdsvc.inf 11.05.2007 17:24 1.464.869 xqsccidq.ini 08.05.2007 10:59 3.583.488 mshtml.dll 03.05.2007 23:04 1.004 cbqkeiwg.ini ----------------------------------------------- systemtemp: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94F5-8BC9 Verzeichnis von C:\DOKUME~1\SASCHA~1\LOKALE~1\Temp 06.08.2007 15:37 167 jusched.log 1 Datei(en) 167 Bytes 0 Verzeichnis(se), 25.817.628.672 Bytes frei ------------------------------------------------ system: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94F5-8BC9 Verzeichnis von C:\WINDOWS 06.08.2007 15:19 159 wiadebug.log 06.08.2007 15:19 1.645.698 WindowsUpdate.log 06.08.2007 15:19 50 wiaservc.log 06.08.2007 15:19 2.048 bootstat.dat 06.08.2007 15:18 32.576 SchedLgU.Txt 06.08.2007 14:53 315.082 ntbtlog.txt 05.08.2007 21:53 1.205 win.ini 05.08.2007 17:24 1.200 winamp.ini 05.08.2007 01:14 54.156 QTFont.qfn 02.08.2007 14:49 18.289 windows.txt 02.08.2007 14:43 45 DICDGGPQ.ini 02.08.2007 04:07 43.626 setupapi.log 31.07.2007 20:26 49 NeroDigital.ini 20.07.2007 00:47 109.056 catchme.exe 04.07.2007 17:16 1.236 SimpleScreenshot_Uninstall.in 04.07.2007 03:43 21.982 mozver.dat 17.06.2007 00:11 51.200 nircmd.exe 13.06.2007 20:06 259.518 ntdtcsetup.log 13.06.2007 20:06 64.173 ocmsn.log 13.06.2007 20:06 492.215 tsoc.log 13.06.2007 20:06 185.337 iis6.log 13.06.2007 20:06 20.302 KB929123.log 13.06.2007 20:06 63.620 msgsocm.log 13.06.2007 20:06 1.204.344 FaxSetup.log 13.06.2007 20:06 87.047 updspapi.log 13.06.2007 20:06 1.374 imsins.BAK 13.06.2007 20:06 18.895 KB935840.log 13.06.2007 20:04 18.393 KB935839.log 13.06.2007 20:03 24.030 KB933566-IE7.log 28.05.2007 21:26 0 setuperr.log 23.05.2007 20:01 7.597 KB927891.log 12.05.2007 19:25 32 autostart.INI 12.05.2007 19:24 32 AUTOSTAR.INI 11.05.2007 18:51 19.634 KB931768-IE7.log 11.05.2007 18:48 14.065 KB929969.log 11.05.2007 18:31 32.100 ie7_main.log 11.05.2007 18:28 48.480 ie7.log 11.05.2007 18:23 20.678 IDNMitigationAPIs.log 11.05.2007 18:22 19.858 NLSDownlevelMapping.log 11.05.2007 18:21 15.095 KB915865.log 11.05.2007 18:06 5.223 KB914440.log 11.05.2007 18:06 18.862 KB932168.log 10.05.2007 18:36 13.069 KB931768.log 10.05.2007 18:35 10.814 KB930916.log ------------------------------------------------ tmp: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94F5-8BC9 Verzeichnis von C:\WINDOWS\TEMP 06.08.2007 15:37 16.384 Perflib_Perfdata_fd4.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 25.817.481.216 Bytes frei -------------------------------------------------------- down: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94F5-8BC9 Verzeichnis von C:\WINDOWS\Downloaded Program Files 23.03.2007 12:17 1.292 erma.inf ---------------------------------------------------------- sys: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 94F5-8BC9 Verzeichnis von C:\ 06.08.2007 15:37 0 sys.txt 06.08.2007 15:37 952 down.txt 06.08.2007 15:37 289 tmp.txt 06.08.2007 15:37 18.186 system.txt 06.08.2007 15:37 295 systemtemp.txt 06.08.2007 15:37 114.144 system32.txt 06.08.2007 15:34 18.567 ComboFix.txt 06.08.2007 15:33 2.866 ComboFix-quarantined-files.txt 06.08.2007 15:19 536.399.872 hiberfil.sys 06.08.2007 15:19 786.432.000 pagefile.sys 06.08.2007 14:45 1.926 VundoFix.txt 03.08.2007 11:29 519 aaw7boot.log 02.08.2007 14:53 933 c.txt 08.07.2007 21:14 63.646 playground.log 23.04.2007 18:45 211 boot.ini ----------------------------------------------- EDIT 2: Habe eine Datei scannen können, die andere beiden Dateien mit Pfad existieren nicht mehr und die beiden O16-Dateien weiss ich nicht, wie ich sie scannen kann... Befund: File: opnmnmj.dll Status: INFECTED/MALWARE MD5: e2151bfccafdea6f56a02e1f3e0e6dc6 Packers detected: - Bit9 reports: File not found AntiVir Found ADSPY/Virtumonde.JP.145 Avast Found Win32:Vundo-gen47 AVG Antivirus Found Generic2.HJF BitDefender Found Adware.Virtumonde.GFS Dr.Web Found Trojan.Virtumod F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.jp (4, 1, 400) Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.jp NOD32 Found a variant of Win32/Adware.Virtumonde.FP application Norman Virus Control Found W32/Virtumonde.HIJ -------------------------------------------------- EDIT 3: Und nun Edit nr. 3 Die neue HJT-logdatei hab ich dann gemacht: Logfile of HijackThis v1.99.1 Scan saved at 16:19:42, on 06.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe C:\Downloads\Daemon Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Sicherheitstools\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ogame.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file) R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file) R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll (file missing) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing) O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\opnmnmj.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {792A3DCE-6242-4C8B-B172-2693B1656E30} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {89BB1778-3736-4037-82F6-D94DDDAEDF92} - C:\WINDOWS\system32\pmnlm.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [Sbjzv] C:\Program Files\Xkvuiug\Vnlv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [DAEMON Tools] "C:\Downloads\Daemon Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe O4 - Global Startup: Ruhezeit-Aktivität vorziehen.bat O4 - Global Startup: TrayMin210.exe.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Icq Lite\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm368XXDE O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing) O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: *.moove.com O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE1E73E-B61C-4984-B30C-B6B701051201}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: opnmnmj - C:\WINDOWS\SYSTEM32\opnmnmj.dll O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe Bei O20 die beiden Dateien konnte ich nicht reparieren/löschen. Den Rest habe ich gefixt (ausser die gescannte datei, die auch als Virus gefunden wurde) Übrigens: Ein fettes Dankeschön erst einmal, das sind eine Menge Daten, die du dir da durchlesen und verarbeiten musst... Finde ich echt klasse von dir, dass du mir helfen kannst und möchtest !! Dieser Beitrag wurde am 06.08.2007 um 16:21 Uhr von dickbrave editiert.
|
|
|
||
06.08.2007, 17:24
Member
Beiträge: 694 |
#8
Hi,
um Himmelswillen, da wimmelt es nur so von! Kein Wunder stürzt Vundo ab, probiere es nach diesem Durchlauf noch einmal. (Das kostet Dich bei der Menge einen Kasten Bier, normalerweise sollte man formatieren ...!) Zitat Bitte folgende Files prüfen:Falls erkannt zu Files to delete bei avenger rein! Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Stelle Antivir so ein: Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben: http://board.protecus.de/t23979.htm Scanne die Festplatte(n) und poste den Report (wie alle anderen auch). Dann noch mal VundoFix. scanne mit ewido und poste den scanreport http://virus-protect.org/onlinescan.html Neues HJ-Log! Chris |
|
|
||
06.08.2007, 19:00
...neu hier
Beiträge: 6 |
#9
Datei spupdsvc.exe empfangen 2007.08.06 18:41:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.3.0 2007.08.06 - AntiVir 7.4.0.57 2007.08.06 - Authentium 4.93.8 2007.08.03 - Avast 4.7.1029.0 2007.08.06 - AVG 7.5.0.476 2007.08.05 - BitDefender 7.2 2007.08.06 - CAT-QuickHeal 9.00 2007.08.06 - ClamAV 0.91 2007.08.06 - DrWeb 4.33 2007.08.06 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5037 2007.08.06 - Ewido 4.0 2007.08.06 - FileAdvisor 1 2007.08.06 - Fortinet 2.91.0.0 2007.08.06 - F-Prot 4.3.2.48 2007.08.03 - F-Secure 6.70.13030.0 2007.08.06 - Ikarus T3.1.1.8 2007.08.06 - Kaspersky 4.0.2.24 2007.08.06 - McAfee 5091 2007.08.06 - Microsoft 1.2704 2007.08.06 - NOD32v2 2439 2007.08.06 - Norman 5.80.02 2007.08.06 - Panda 9.0.0.4 2007.08.06 - Prevx1 V2 2007.08.06 - Rising 19.35.02.00 2007.08.06 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.04 - Symantec 10 2007.08.06 - TheHacker 6.1.7.162 2007.08.04 - VBA32 3.12.2.2 2007.08.04 - VirusBuster 4.3.26:9 2007.08.06 - Webwasher-Gateway 6.0.1 2007.08.06 - weitere Informationen File size: 22752 bytes MD5: e70e4ee2be6428cdae101363226ad4a9 SHA1: 8055ba91bfeb4f549d74b4ec74949802ffe9477a -------------------------------------------------- Datei pmnlm.dll empfangen 2007.08.06 18:50:04 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 15/32 (46.88%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 6. Geschätzte Startzeit is zwischen 70 und 100 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.3.0 2007.08.06 - AntiVir 7.4.0.57 2007.08.06 TR/Mon.Virtumonde.IH Authentium 4.93.8 2007.08.03 - Avast 4.7.1029.0 2007.08.06 Win32:Vundo-gen49 AVG 7.5.0.476 2007.08.05 - BitDefender 7.2 2007.08.06 Adware.Virtumonde.GFS CAT-QuickHeal 9.00 2007.08.06 - ClamAV 0.91 2007.08.06 - DrWeb 4.33 2007.08.06 Trojan.Virtumod eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm eTrust-Vet 31.1.5037 2007.08.06 Win32/Vundo!generic Ewido 4.0 2007.08.06 - FileAdvisor 1 2007.08.06 - Fortinet 2.91.0.0 2007.08.06 - F-Prot 4.3.2.48 2007.08.03 - F-Secure 6.70.13030.0 2007.08.06 - Ikarus T3.1.1.8 2007.08.06 - Kaspersky 4.0.2.24 2007.08.06 - McAfee 5091 2007.08.06 - Microsoft 1.2704 2007.08.06 Trojan:Win32/Virtumonde.O NOD32v2 2439 2007.08.06 a variant of Win32/Adware.Virtumonde.FP Norman 5.80.02 2007.08.06 Vundo.dam Panda 9.0.0.4 2007.08.06 Suspicious file Prevx1 V2 2007.08.06 - Rising 19.35.02.00 2007.08.06 - Sophos 4.19.0 2007.08.01 Virtumundo Sunbelt 2.2.907.0 2007.08.04 VIPRE.Suspicious Symantec 10 2007.08.06 Trojan.Vundo TheHacker 6.1.7.162 2007.08.04 - VBA32 3.12.2.2 2007.08.04 - VirusBuster 4.3.26:9 2007.08.06 Adware.Vundo.Gen!Pac.15 Webwasher-Gateway 6.0.1 2007.08.06 Trojan.Mon.Virtumonde.IH weitere Informationen File size: 266304 bytes MD5: b2b9a465e34b5d3758517e396219a554 SHA1: b28c94cb5a26e9a242190f4da5cda4fe11891b69 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. ---------------------------------------------------------- Das schonmal zu den Files, die andern hab ich auch mitsamt Pfad reinkopiert, wurden aber nicht gefunden. Beim nächsten Edit gibts dann den rest (wegen Neustart die Edits) EDIT 1: Hab Avenger durchlaufen lassen, aber da wurden manche Dateien nicht gelöscht: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vqrbbuis ******************* Script file located at: \??\C:\WINDOWS\eacdppef.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\DOKUME~1\SASCHA~1\ANWEND~1\tvmknwrd.dll deleted successfully. File C:\WINDOWS\System32\xwiqrnfv.exe not found! Deletion of file C:\WINDOWS\System32\xwiqrnfv.exe failed! Could not process line: C:\WINDOWS\System32\xwiqrnfv.exe Status: 0xc0000034 File C:\WINDOWS\system32\bbadd.ini2 deleted successfully. File C:\WINDOWS\system32\bbadd.tmp deleted successfully. File C:\WINDOWS\system32\bbadd.bak2 deleted successfully. File C:\WINDOWS\system32\bbadd.bak1 deleted successfully. File C:\WINDOWS\system32\jjjlm.ini deleted successfully. File C:\WINDOWS\system32\jjjlm.bak2 deleted successfully. File C:\WINDOWS\system32\jjjlm.bak1 deleted successfully. File C:\WINDOWS\system32\ybeeg.ini2 deleted successfully. File C:\WINDOWS\system32\ybeeg.bak2 deleted successfully. File C:\WINDOWS\system32\ybeeg.ini deleted successfully. File C:\WINDOWS\system32\ybeeg.tmp deleted successfully. File C:\WINDOWS\system32\ybeeg.bak1 deleted successfully. File C:\WINDOWS\system32\swreg.exe deleted successfully. File C:\WINDOWS\system32\rqstv.ini deleted successfully. File C:\WINDOWS\system32\rqstv.bak2 deleted successfully. File C:\WINDOWS\system32\rqstv.bak1 deleted successfully. File C:\WINDOWS\system32\ihkmp.ini2 deleted successfully. File C:\WINDOWS\system32\ihkmp.bak2 deleted successfully. File C:\WINDOWS\system32\ihkmp.tmp deleted successfully. File C:\WINDOWS\system32\ihkmp.ini deleted successfully. File C:\WINDOWS\system32\ihkmp.bak1 deleted successfully. File C:\WINDOWS\system32\ijjlm.ini2 deleted successfully. File C:\WINDOWS\system32\ijjlm.bak2 deleted successfully. File C:\WINDOWS\system32\ijjlm.ini deleted successfully. File C:\WINDOWS\system32\ijjlm.tmp deleted successfully. File C:\WINDOWS\system32\ijjlm.bak1 deleted successfully. File C:\WINDOWS\system32\rstwa.bak2 deleted successfully. File C:\WINDOWS\system32\rstwa.ini deleted successfully. File C:\WINDOWS\system32\rstwa.tmp deleted successfully. File C:\WINDOWS\system32\rstwa.bak1 deleted successfully. File C:\WINDOWS\system32\opnmnmj.dll deleted successfully. File C:\WINDOWS\system32\tuvuvut.exe deleted successfully. File C:\WINDOWS\system32\gxkexfwj.exe deleted successfully. File C:\WINDOWS\System32\pmnlm.dll deleted successfully. Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Sbjzv deleted successfully. Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ifcdiag.exe failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutuv failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddabb failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geeby failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjj failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmnmj deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhf failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhi failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqr failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare deleted successfully. Completed script processing. ******************* Finished! Terminate. EDIT 2: Hier der Scan mit Antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Montag, 6. August 2007 19:26 Es wird nach 1004013 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Sascha Kimmel Computername: HNPC1 Versionsinformationen: BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08 AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18 LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00 LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 20:32:53 ANTIVIR2.VDF : 6.39.0.207 1077248 Bytes 02.08.2007 19:11:48 ANTIVIR3.VDF : 6.39.0.216 93696 Bytes 06.08.2007 17:24:27 AVEWIN32.DLL : 7.4.0.57 2707968 Bytes 01.08.2007 19:13:51 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 19:11:48 AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01 AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00 RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 6. August 2007 19:26 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrayMin210.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UnlockerAssistant.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '35' Prozesse mit '35' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '19' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\avenger\backup.zip [0] Archivtyp: ZIP --> avenger/gxkexfwj.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted --> avenger/pmnlm.dll [FUND] Ist das Trojanische Pferd TR/Mon.Virtumonde.IH [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Thunderbird\Profiles\s71jjuj7.default\Mail\Local Folders\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: craig hall <craig.hall@scholzes.com>][Subject: postcard][Message-ID: <0MKpEa-1GyqWB3Y3M-0003Lj@mx.kundenserver.de>]4462.mim [1] Archivtyp: MIME --> postcard.zip [2] Archivtyp: ZIP --> postcard.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Small.edn --> Mailbox_[Message-ID: <4596A29F.5020100@mixplant.com.ph>][From: real time <hdcsqr@mixplant.com.ph>][Subject: Happy New Year!]4534.mim [1] Archivtyp: MIME --> Greeting Postcard.exe [FUND] Ist das Trojanische Pferd TR/Small.DBY.J --> Mailbox_[Message-ID: <4596C830.5030904@mellonde.info>][From: threshold <umvq@mellonde.info>][Subject: Happy New Year!]4536.mim [1] Archivtyp: MIME --> Postcard.exe [FUND] Ist das Trojanische Pferd TR/Small.DBY.J --> Mailbox_[Message-ID: <45977CA2.5000104@beterem-ingenierie.fr>][From: twig <pxlevi@beterem-ingenierie.fr>][Subject: Welcome 2007!]4542.mim [1] Archivtyp: MIME --> greeting postcard.exe [FUND] Ist das Trojanische Pferd TR/Small.DBY.J [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Thunderbird\Profiles\s71jjuj7.default\Mail\pop.gmx.net\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[Message-ID: <4596A24C.5050406@cataerobics.com>][From: catty-cornered <hikcj@cataerobics.com>][Subject: Happy New Year!]228.mim [1] Archivtyp: MIME --> Postcard.exe [FUND] Ist das Trojanische Pferd TR/Small.DBY.J --> Mailbox_[Message-ID: <45977C92.9010204@gmbishop.plus.com>][From: urban renewal <nfjcx@gmbishop.plus.com>][Subject: Fun Filled New Year!]230.mim [1] Archivtyp: MIME --> greeting postcard.exe [FUND] Ist das Trojanische Pferd TR/Small.DBY.J [WARNUNG] Die Datei wurde ignoriert. C:\Programme\Sicherheitstools\Avenger\avenger.exe [FUND] Enthält Signatur des SPR/Avenger-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\Programme\Sicherheitstools\Avenger\avenger.zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Signatur des SPR/Avenger-Programmes [WARNUNG] Die Datei wurde ignoriert. C:\QooBox\Quarantine\C\WINDOWS\system32\vtsqn.dll.vir [FUND] Ist das Trojanische Pferd TR/Mon.Virtumonde.II [WARNUNG] Die Datei wurde ignoriert. C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\hh.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\itss.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\locator.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\magnify.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\narrator.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\newdev.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\ole32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\osk.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\shell32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\srv.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\user32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\win32k.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826942$\netshell.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msexch40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msexcl40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msjet40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msjetol1.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msjetoledb40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msjint40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msjter40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msjtes40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msltus40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\mspbde40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msrd2x40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msrd3x40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msrepl40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\mstext40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\mswdat10.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\mswstr10.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\msxbde40.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB829558$\vbajet32.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallKB833998$\sxs.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ828026$\wmp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <INSTALL> Ende des Suchlaufs: Montag, 6. August 2007 21:27 Benötigte Zeit: 2:00:33 min Der Suchlauf wurde vollständig durchgeführt. 10670 Verzeichnisse wurden überprüft 498325 Dateien wurden geprüft 11 Viren bzw. unerwünschte Programme wurden gefunden 1 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 56 Dateien konnten nicht durchsucht werden 498313 Dateien ohne Befall 13118 Archive wurden durchsucht 62 Warnungen 1 Hinweise 0 Versteckte Objekte wurden gefunden EDIT 3: Habe Vundo angewendet - er fand keine Viren ) Wow, echt Klasse ^^ Jetzt noch der Onlinescan und die HJT-Logdatei und dann warte ich mal ab, was du noch so findest Zwischendrin nochmal ein dickes Dankeschön - ist schon ein super Gefühl nach dem Neustart nicht mehr das andauernde "piep" zu hören und immer "Virus oder unerwünschtes Programm gefunden" zu lesen.... Und EDIT Nr. 4: Hey, Also nun habe ich versucht mit dem Onlinescan zu scannen und war dann kurze Zeit afk (weil ich ferngesehn hab) und als ich wieder kam, war der Internet Explorer geschlossen und kein Anschein davon, was gescannt wurde, ob er fertig ist etc... Ich also wieder den Inetexplorer angemacht, dasselbe nochmal und erst blieb ich am pc sitzen (bis es auf halb war) und dann musste ich mal kurz auf die Toilette und als ich wieder kam, war es wieder weg... Ich komm mir veräppelt vor ^^ naja, jedenfalls hier nochmal nen HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 22:23:00, on 06.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe C:\Programme\QuickTime\qttask.exe C:\Downloads\Daemon Tools\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe C:\Programme\Sicherheitstools\HiJackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ogame.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Sicherheitstools\Unlocker 1.8.5\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [DAEMON Tools] "C:\Downloads\Daemon Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.exe O4 - Global Startup: Ruhezeit-Aktivität vorziehen.bat O4 - Global Startup: TrayMin210.exe.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\Icq Lite\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\Singstar\Converter\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: *.moove.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE1E73E-B61C-4984-B30C-B6B701051201}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{16F8DB0E-B129-45D9-A82C-B849AC21DF32}: NameServer = 81.173.194.68 213.168.112.60 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Sicherheitstools\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe Dieser Beitrag wurde am 06.08.2007 um 22:31 Uhr von dickbrave editiert.
|
|
|
||
07.08.2007, 07:48
Member
Beiträge: 694 |
#10
Hi,
das nicht alles gelöscht wurde liegt wohl daran, das combofix etc. vorher schon zugeschlagen hatte, sie aber im HJ-Log noch zu sehen waren... Bitte online Prüfen (wie weist Du ja jetzt ;o): C:\WINDOWS\System32\Shdocvw.dll <- kommt zweimmal mit unterschiedlicher classIDs vor C:\WINDOWS\SYSTEM32\VundoFixSVC.exe <- ein Fix als Dienst???? Da isch was faul! HJ-Fixen: O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} - C:\Programme\Games\tbGame.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - Global Startup: TrayMin210.exe.lnk = ? O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\Partypoker\PartyPokerNet\RunPF.exe (file missing) O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe Für den Fall, dass C:\WINDOWS\SYSTEM32\VundoFixSVC.exe erkannt wird: KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\SYSTEM32\VundoFixSVC.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" (-> also: gleich yes :o) PC neustarten Backups von Avenger&Co löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren Ewido hat noch einen Microscanner der recht gut ist: Ewido Micro: http://downloads.ewido.net/ewido_micro.exe Installiere den mal, lass ihn laufen und poste das Log. Chris |
|
|
||
07.08.2007, 09:24
...neu hier
Beiträge: 6 |
#11
Datei VundoFixSVC.exe empfangen 2007.08.07 09:16:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/31 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.3.0 2007.08.07 - AntiVir 7.4.0.57 2007.08.06 - Authentium 4.93.8 2007.08.06 - Avast 4.7.1029.0 2007.08.06 - AVG 7.5.0.476 2007.08.06 - BitDefender 7.2 2007.08.07 - CAT-QuickHeal 9.00 2007.08.06 - ClamAV 0.91 2007.08.07 - DrWeb 4.33 2007.08.07 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5039 2007.08.07 - Ewido 4.0 2007.08.06 - FileAdvisor 1 2007.08.07 - Fortinet 2.91.0.0 2007.08.07 - F-Prot 4.3.2.48 2007.08.03 - F-Secure 6.70.13030.0 2007.08.07 - Ikarus T3.1.1.8 2007.08.07 - Kaspersky 4.0.2.24 2007.08.07 - McAfee 5091 2007.08.06 - Microsoft 1.2704 2007.08.07 - NOD32v2 2440 2007.08.06 - Norman 5.80.02 2007.08.06 - Panda 9.0.0.4 2007.08.06 - Prevx1 V2 2007.08.07 - Rising 19.35.11.00 2007.08.07 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.04 - Symantec 10 2007.08.07 - TheHacker 6.1.7.163 2007.08.07 - VBA32 3.12.2.2 2007.08.07 - Webwasher-Gateway 6.0.1 2007.08.07 - weitere Informationen File size: 24576 bytes MD5: eab5894bcebfd64f367cd3c54a1a573c SHA1: 1e4e896b83198d76145f90090d858b5ddd4d2b07 -------------------------------------------------------- Datei Shdocvw.dll empfangen 2007.08.07 09:16:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 40 und 58 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.8.3.0 2007.08.07 - AntiVir 7.4.0.57 2007.08.06 - Authentium 4.93.8 2007.08.06 - Avast 4.7.1029.0 2007.08.06 - AVG 7.5.0.476 2007.08.06 - BitDefender 7.2 2007.08.07 - CAT-QuickHeal 9.00 2007.08.06 - ClamAV 0.91 2007.08.07 - DrWeb 4.33 2007.08.07 - eSafe 7.0.15.0 2007.07.31 - eTrust-Vet 31.1.5039 2007.08.07 - Ewido 4.0 2007.08.06 - FileAdvisor 1 2007.08.07 - Fortinet 2.91.0.0 2007.08.07 - F-Prot 4.3.2.48 2007.08.03 - F-Secure 6.70.13030.0 2007.08.07 - Ikarus T3.1.1.8 2007.08.07 - Kaspersky 4.0.2.24 2007.08.07 - McAfee 5091 2007.08.06 - Microsoft 1.2704 2007.08.07 - NOD32v2 2440 2007.08.06 - Norman 5.80.02 2007.08.06 - Panda 9.0.0.4 2007.08.06 - Prevx1 V2 2007.08.07 - Rising 19.35.11.00 2007.08.07 - Sophos 4.19.0 2007.08.01 - Sunbelt 2.2.907.0 2007.08.04 - Symantec 10 2007.08.07 - TheHacker 6.1.7.163 2007.08.07 - VBA32 3.12.2.2 2007.08.07 - VirusBuster 4.3.26:9 2007.08.06 - Webwasher-Gateway 6.0.1 2007.08.07 - weitere Informationen File size: 1494528 bytes MD5: 607187ae34c1be998709b2f4be0e49b8 SHA1: d3c19498f97793b53aab731b6db32b70d96400f8 ------------------------------------------------------- Backups erfolgreich gelöscht ------------------------------------------------------- HJ gefixt und jetzt lass ich ewido laufen, während ich in der schule bin und wenn ich dann wieder da biN (so gegen 3) dann poste ich den log Bis dann, Sascha EDIT>: __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@2o7[1].txt Risk: Medium Name: TrackingCookie.71i Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@adicqserver.71i[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@ivwbox[1].txt Risk: Medium Name: TrackingCookie.Webtrends Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@m.webtrends[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@sevenoneintermedia.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Netflame Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Cookies\sascha_kimmel@ssl-hints.netflame[1].txt Risk: Medium Name: Adware.DesktopSpyAgent Path: HKLM\SOFTWARE\KMiNT21 Risk: Medium Name: Adware.DesktopSpyAgent Path: HKLM\SOFTWARE\KMiNT21\GoldenKeylogger Risk: Medium Name: Adware.HotBar Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ISTbarISTbar Risk: Medium Name: Adware.InternetOptimizer Path: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Rotue Risk: Medium Name: Adware.TopConverting Path: HKLM\SOFTWARE\TopConverting Risk: Medium Name: Adware.BiSpy Path: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\mxTarget.dll.q_2CFA002_q Risk: Medium Name: TrackingCookie.Adtech Path: :mozilla.6:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtech Path: :mozilla.7:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtech Path: :mozilla.8:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Ivwbox Path: :mozilla.11:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Doubleclick Path: :mozilla.33:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.36:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Mediaplex Path: :mozilla.37:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Komtrack Path: :mozilla.39:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Komtrack Path: :mozilla.40:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Weborama Path: :mozilla.42:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Tradedoubler Path: :mozilla.48:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Popularix Path: :mozilla.51:C:\Dokumente und Einstellungen\Martina Kimmel.HNPC1\Anwendungsdaten\Mozilla\Firefox\Profiles\b3z83c2b.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtech Path: :mozilla.22:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtech Path: :mozilla.23:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtech Path: :mozilla.24:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Ivwbox Path: :mozilla.26:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtiger Path: :mozilla.33:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Adtiger Path: :mozilla.40:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.54:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.2o7 Path: :mozilla.55:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Mediaplex Path: :mozilla.81:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: TrackingCookie.Netflame Path: :mozilla.92:C:\Dokumente und Einstellungen\Sascha Kimmel\Anwendungsdaten\Mozilla\Firefox\Profiles\x1xftcgs.default\cookies.txt Risk: Medium Name: Adware.PowerScan Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Startmenü\Programme\Power Scan Risk: Medium Name: Adware.PowerScan Path: C:\Dokumente und Einstellungen\Sascha Kimmel\Startmenü\Programme\Power Scan\Power Scan.lnk Risk: Medium Name: Adware.Virtumonde Path: C:\Downloads\Counterstrike 1.6 + extras\GELD VERDIENEN EINFACH GENIAL ABSOLUT LEGAL\spam_counterstrike_1_1a_keygen.exe Risk: Medium Name: Adware.WinAD Path: C:\Program Files\Windows ControlAd\WinCtlAd.exe Risk: Medium Name: Adware.WinAD Path: C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe Risk: Medium Name: Adware.WinAD Path: C:\Program Files\Windows FormatAd\WinForm.exe Risk: Medium Name: Adware.WinAD Path: C:\Program Files\Windows ServeAd\WinAtServ.dll Risk: Medium Name: Adware.WinAD Path: C:\Program Files\Windows ServeAd\WinServAd.exe Risk: Medium Name: Adware.WinAD Path: C:\Program Files\Windows ServeAd\WinServSuit.exe Risk: Medium Name: Adware.180Solutions Path: C:\Program Files\zango\zangohook.dll Risk: Medium Name: Worm.AimVen Path: C:\Programme\AIM95\icbmft.ocm Risk: High Name: Adware.180Solutions Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP533\A0137564.exe Risk: Medium Name: Adware.BiSpy Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP541\A0137657.dll Risk: Medium Name: Adware.BiSpy Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137691.exe Risk: Medium Name: Adware.BiSpy Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137692.dll Risk: Medium Name: Adware.180Solutions Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137697.dll Risk: Medium Name: Adware.TotalVelocity Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP546\A0137710.exe Risk: Medium Name: Trojan.Small Path: C:\System Volume Information\_restore{0A3EF540-1915-4316-837B-89EDEB8D656C}\RP552\A0142005.exe Risk: High Dieser Beitrag wurde am 07.08.2007 um 14:55 Uhr von dickbrave editiert.
|
|
|
||
12.08.2007, 20:32
...neu hier
Beiträge: 6 |
#12
*push* ^^
Chris ? Bist du noch da oder was is los ? |
|
|
||
13.08.2007, 08:04
Member
Beiträge: 694 |
#13
Hi,
nur am Wochenende mit was anderem beschäftigt :o)... Hi, die gefunden Sachen solltest Du deinstallieren (Adware) oder bereinigen lassen. Die Systemwiederherstellung muß noch geputzt werden (da hängt noch ein Trojaner rum): Systemwiederherstellung löschen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da). Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Chris |
|
|
||
13.08.2007, 21:47
...neu hier
Beiträge: 6 |
#14
Hey Chris,
Hab die gefundenen Sachen alle deinstalliert/bereinigt. Habe Systemwiederherstellung automatisch löschen lassen (einmal den Trojaner per Ewido und dann wurde durch die deaktivierung alles gelöscht). Anschließend wieder aktiviert (dabei hat er nen Systemwiederherstellungspunkt erstellt) Und nochmal manuell einen erstellt. Ich denke damit wars dass nun jetzt, oder ? Ich möchte mich echt total bei dir bedanken, für mich war es ja nicht soviel Arbeit wie für dich !!! Wenn du mir zum Schluss noch sagen könntest, wie ich mir die Viren möglichst vom Leib halten könnte, wäre ich dir unendlich dankbar (naja, nbissel übertrieben, aber ich bin dir echt super dankbar) Weil ich weiss net wie ich die Viren erkenne, wenn sie bei Antivir net angezeigt werden. Wenn ich bei Antivir ne Meldung krieg, versuch ich den Virus einfach zu löschen (per Button "Löschen") und ansonsten per Ewido oder so, falls das net geht mit Avenger, richtig ? Aber wenn Antivir sagt "alles okke" dann heisst das ja noch nicht, das alles okke ist, also von daher mit Ewido nochmal durchchecken (Spybot S&D für Spyware) ob er noch was findet, richtig ? Bitte berichtige mich, dann kann ich dir etwas seltener auf die Nerven gehen ) Bis dann, Sascha |
|
|
||
14.08.2007, 07:42
Member
Beiträge: 694 |
#15
Hi,
jetzt noch die Backups von Avenger und Co löschen (soweit vorhanden): Backups von Avenger&Co löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren Hier mein Rat: Das System immer auf dem neusten Stand halten, und keine "zweifelhaften" Seiten besuchen. Suspekte Programme online von mehreren Scannern prüfen lassen, einen extra Surfer-Account anlegen der über reduzierte Rechte (keine Adminrechte) verfügt. Und als letztes: Den IE/Firefox in einer Sandbox laufen lassen: http://www.sandboxie.com/ Chris |
|
|
||
ja... habe hier gelesen, dass ihr schon anderen geholfen habt, diesen Virus zu löschen...könnt ihr mir auch helfen?
diese Dartei ist betroffen: pmkji.dll
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
D:\WINDOWS\system32\nvraidservice.exe
D:\WINDOWS\Mixer.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
E:\Programme\ICQLite\ICQLite.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
D:\WINDOWS\System32\wbem\unsecapp.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\Administrator.COMPI\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - D:\Programme\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nTrayFw] D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ISUSPM Startup] D:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Windows Services] "D:\Programme\svchosts.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "D:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINDOWS\system32\mnwohgey.dll",setvm
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] D:\Programme\user32.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "D:\WINDOWS\system32\frbsrouf.dll",realset
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WinAntiVirusPro2007] D:\Programme\WinAntiVirus Pro 2007\winav.exe /min
O4 - HKCU\..\Run: [Emnb] "D:\DOKUME~1\ADMINI~1.COM\ANWEND~1\ASKS~1\msdtc.exe" -vt yazb
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = D:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll
O20 - Winlogon Notify: ddaby - D:\WINDOWS\system32\ddaby.dll (file missing)
O20 - Winlogon Notify: jkkhggd - D:\WINDOWS\SYSTEM32\jkkhggd.dll
O20 - Winlogon Notify: pmkji - D:\WINDOWS\system32\pmkji.dll
O20 - Winlogon Notify: ssqoppp - ssqoppp.dll (file missing)
O20 - Winlogon Notify: ssttq - D:\WINDOWS\system32\ssttq.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe