Security warning popups und gelbes Symbol in der Taskleiste

#1 Hallo!

Habe seit gestern ein Problem mit Popup - Fenstern (Fehlermeldungen, Warnungen, Werbung für Anti-Viren-Programm, etc.) Außerdem werde ich beim Öffnen des Internet-Explorers ebenfalls sofort auf eine solche Seite weitergeleitet. In der Taskleiste blinkt ständig ein gelbes Dreieck mit einem Ausrufezeichen. Dieses verschwindet, wenn man draufklickt, erscheint aber nach kurzer Zeit wieder. Zu guter letzt habe ich seit gestern 2 Symbole auf dem Desktop, die wie Windows Symbole aussehen ("Live safety center" und "Online security guide"). Diese verweisen jedoch auf irgendwelche dubiosen Internetseiten. Ich hoffe, jemand kann mir helfen. Im folgenden die Logs, die ich gemacht habe:

Hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 09:01, on 15.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Centenn.ial\Audit\CAgent32.exe
C:\Centenn.ial\Audit\xferwan.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
c:\_integra\bin\ccmagent.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\TEMP\YI2DF4.EXE
c:\_integra\bin\shstart.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://wpad.jumo.net/wpad.dat
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\tbvntlml.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\tbvntlml.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Discovery User Input] C:\Discovery\User Input\userin32.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Verknüpfung mit winbirth.lnk = C:\Birth\winbirth.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = jumo.net
O17 - HKLM\Software\..\Telephony: DomainName = jumo.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{755890D0-0C6C-4086-BAD3-CB76AC040027}: Domain = jumo.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = jumo.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = jumo.net
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: tbvntlml - C:\WINDOWS\SYSTEM32\tbvntlml.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: CentennialClientAgent - Centennial Software Limited - C:\Centenn.ial\Audit\CAgent32.exe
O23 - Service: CentennialIPTransferAgent - Centennial Software Limited - C:\Centenn.ial\Audit\xferwan.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: iSeries Access für Windows - Ferner Befehl (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Symantec LiveState Agent for Windows (WControl) - Symantec Corporation - c:\_integra\bin\ccmagent.exe


--------------------------
Combofix
--------------------------
ComboFix 07-08-14.4 - "knoell" 2007-08-15 8:47:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1552 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\gebyy.dll
C:\WINDOWS\system32\winrzf32.dll
C:\WINDOWS\system32\xxyaawu.dll


((((((((((((((((((((((((( Files Created from 2007-07-15 to 2007-08-15 )))))))))))))))))))))))))))))))


2007-08-15 08:55 <DIR> d-------- C:\Temp\WPDNSE
2007-08-15 08:52 176,195 --a------ C:\Temp\YI2DF4.EXE
2007-08-15 08:49 43,542 --a------ C:\WINDOWS\system32\opnkjjh.dll
2007-08-15 08:49 28,672 --a------ C:\Temp\win4F.tmp.exe
2007-08-15 08:46 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-15 07:35 <DIR> d-------- C:\WINDOWS\pss
2007-08-15 07:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-08-15 07:09 <DIR> d-------- C:\tmp
2007-08-14 14:19 131,680 --a------ C:\WINDOWS\system32\tbvntlml.dll
2007-08-14 14:15 109 --a------ C:\Temp\wnd180.bat
2007-08-14 14:13 43 --a------ C:\Temp\removalfile.bat
2007-08-14 14:13 <DIR> d-------- C:\DOKUME~1\knoell\ANWEND~1\WinRAR
2007-07-16 10:48 <DIR> d-------- C:\Temp\187


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-15 07:09 8800 --a------ C:\WINDOWS\system32\drivers\CDProbe.SYS
2007-08-06 13:48 --------- d-------- C:\Programme\Gemeinsame Dateien\Platform3000u
2007-08-06 09:29 --------- d-------- C:\Programme\VirtualDub 1.6.1
2007-07-11 15:12 --------- d-------- C:\DOKUME~1\knoell\ANWEND~1\U3
2007-07-11 09:37 --------- d-------- C:\Programme\Audacity
2007-06-26 16:09 664576 -----c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:55 851968 --a--c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:08 1104896 --a--c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-20 08:21 --------- d-------- C:\Programme\GIGA F-Tasten
2007-06-19 15:31 282112 --a--c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-14 20:09 96768 -----c--- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:09 617472 -----c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:09 55808 -----c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:09 532480 -----c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:09 474624 -----c--- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:09 449024 -----c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:09 39424 -----c--- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:09 357888 --a--c--- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:09 251392 -----c--- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:09 205312 -----c--- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:09 16384 --a--c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:09 152064 -----c--- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:09 1494528 -----c--- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:09 146432 -----c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:09 1056256 -----c--- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:09 1023488 -----c--- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 -----c--- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-14 11:09 3079680 -----c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-13 15:21 1036288 --a--c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-05-17 13:28 549376 --a--c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-05-17 13:28 549376 --a------ C:\WINDOWS\system32\oleaut32.dll
2007-05-16 17:12 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-08-14 14:19 131680 --a------ C:\WINDOWS\system32\tbvntlml.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\tbvntlml.dll [2007-08-14 14:19 131680]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 22:31]
"Discovery User Input"="C:\Discovery\User Input\userin32.exe" [2005-06-10 14:07]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-01-08 21:20]
"Client Access Service"="C:\Programme\IBM\Client Access\cwbsvstr.exe" [2005-10-19 06:40]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 11:37 C:\WINDOWS\system32\nwtray.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-15 11:32]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

C:\Dokumente und Einstellungen\knoell\Startmen�\Programme\Autostart\
Verkn�pfung mit winbirth.lnk - C:\Birth\winbirth.exe [2007-05-15 08:17:31]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideClock"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"ForceStartMenuLogOff"=1 (0x1)
"NoLowSpaceChecks"=1 (0x1)
"NoRecentDocsNethood"=1 (0x1)
"NoStrCmpLogical"=0 (0x0)
"NoThumbnailCache"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"ForceStartMenuLogOff"=1 (0x1)
"NoLowSpaceChecks"=1 (0x1)
"NoRecentDocsNethood"=1 (0x1)
"NoStrCmpLogical"=0 (0x0)
"NoThumbnailCache"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tbvntlml]
tbvntlml.dll 2007-08-14 14:19 131680 C:\WINDOWS\system32\tbvntlml.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwv1_0

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MDM"=2 (0x2)

R0 NICM;Novell InterService-Kommunikationstreiber;C:\WINDOWS\system32\drivers\nicm.sys
R0 NWFILTER;Novell-UNC-Pfadfilter;C:\WINDOWS\system32\NetWare\nwfilter.sys
R2 NetwareWorkstation;Novell Client für Windows;C:\WINDOWS\system32\NetWare\nwfs.sys
R2 ntrtscan;OfficeScanNT Echtzeitsuche;"C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe"
R2 NWDHCP;Novell DHCP-Informations-Client;C:\WINDOWS\system32\NetWare\nwdhcp.sys
R2 RESMGR;Novell NetWare-Ressourcen-Manager;C:\WINDOWS\system32\NetWare\resmgr.sys
R2 smefs;SMEFileSystem;C:\WINDOWS\system32\drivers\smefs.sys
R2 SRVLOC;Novell Servicestandort;C:\WINDOWS\system32\NetWare\srvloc.sys
R2 tmlisten;OfficeScanNT Listener;"C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe"
R2 TmPreFilter;Trend Micro PreFilter;\??\C:\Programme\Trend Micro\OfficeScan Client\TmPreFlt.sys
R3 NWDNS;DNS-Namespace-Service-Anbieter von Novell;C:\WINDOWS\system32\NetWare\nwdns.sys
R3 NWHOST;Namespace-Service-Anbieter der Hostdatei von Novell;C:\WINDOWS\system32\NetWare\NWHOST.sys
R3 NWSLP;SLP-Namespace-Service-Anbieter von Novell;C:\WINDOWS\system32\NetWare\nwslp.sys
R3 NWSNS;Einfache Novell-Namen-Services;C:\WINDOWS\system32\NetWare\NWSNS.sys
R3 smedrv;SMEDriver;C:\WINDOWS\system32\drivers\smedrv.sys
S2 NWSIPX32;Novell NetWare-IPX/SPX-Transport-Schnittstelle;C:\WINDOWS\system32\NetWare\nwsipx32.sys
S3 CdProbe;CdProbe;C:\WINDOWS\system32\DRIVERS\cdprobe.sys
S3 cusrvc;Client Update Service for Novell;C:\WINDOWS\system32\cusrvc.exe
S3 NWSAP;Novell SAP-Namespace-Anbieter;C:\WINDOWS\system32\NetWare\NWSAP.sys
S3 r_server;Remote Administrator Service;"C:\WINDOWS\system32\r_server.exe" /service
S3 USB70xxyy01;USB70xxyy01;C:\WINDOWS\system32\Drivers\USB70xxyy01.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-15 08:54:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-15 8:56:20 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-15 08:56

--- E O F ---


------------------------
datfind
------------------------
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3447-8C27

Verzeichnis von C:\WINDOWS\system32

15.08.2007 09:01 18.004 tbvntlml.dllbox
15.08.2007 08:56 374.064 perfh009.dat
15.08.2007 08:56 50.532 perfc009.dat
15.08.2007 08:56 384.216 perfh007.dat
15.08.2007 08:56 61.096 perfc007.dat
15.08.2007 08:56 879.678 PerfStringBackup.INI
15.08.2007 08:49 43.542 opnkjjh.dll
14.08.2007 14:19 131.680 tbvntlml.dll
14.08.2007 06:53 2.206 wpa.dbl
13.08.2007 06:51 122.928 FNTCACHE.DAT
03.08.2007 06:34 16.789.464 MRT.exe
22.07.2007 18:39 279.552 swreg.exe
26.06.2007 16:09 664.576 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
21.06.2007 07:01 122.142 TZLog.log
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 11:09 3.079.680 mshtml.dll
14.06.2007 07:24 123.904 xpsp3res.dll
11.06.2007 23:51 10.834.944 wmp.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
25.04.2007 16:22 144.896 schannel.dll
18.04.2007 18:13 2.854.400 msi.dll
16.04.2007 22:47 33.624 wups.dll
16.04.2007 22:47 30.040 wuapi.dll.mui
16.04.2007 22:47 30.040 wuaucpl.cpl.mui
16.04.2007 22:45 1.710.936 wuaueng.dll
16.04.2007 22:45 549.720 wuapi.dll
16.04.2007 22:45 325.976 wucltui.dll
16.04.2007 22:45 216.408 wuaucpl.cpl
16.04.2007 22:45 203.096 wuweb.dll
16.04.2007 22:45 92.504 cdm.dll
16.04.2007 22:45 53.080 wuauclt.exe
16.04.2007 22:45 20.824 wuaueng.dll.mui
16.04.2007 22:45 43.352 wups2.dll
16.04.2007 22:44 34.136 wucltui.dll.mui
16.04.2007 17:53 1.058.304 kernel32.dll

.
.
.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3447-8C27

Verzeichnis von C:\Temp

15.08.2007 09:01 109.066 datfind.txt
15.08.2007 09:01 4.286 ico7.tmp
15.08.2007 09:01 4.286 ico6.tmp
15.08.2007 09:00 16.384 ~DF7FD6.tmp
08.01.2007 21:15 176.195 YI2DF4.EXE
5 Datei(en) 310.217 Bytes
0 Verzeichnis(se), 62.489.631.744 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3447-8C27

Verzeichnis von C:\WINDOWS

15.08.2007 09:01 2.338.760 Pfirewall.log
15.08.2007 08:52 1.861.561 WindowsUpdate.log
15.08.2007 08:51 2.048 bootstat.dat
15.08.2007 07:56 106.412 ntbtlog.txt
15.08.2007 07:47 528 win.ini
15.08.2007 07:47 246 system.ini
15.08.2007 07:09 3.643 spupdsvc.log
15.08.2007 07:07 533.466 iis6.log
15.08.2007 07:07 98.881 ntdtcsetup.log
15.08.2007 07:07 165.839 comsetup.log
15.08.2007 07:07 216.185 tsoc.log
15.08.2007 07:07 1.374 imsins.log
15.08.2007 07:07 23.955 tabletoc.log
15.08.2007 07:07 25.851 ocmsn.log
15.08.2007 07:07 10.735 KB936021.log
15.08.2007 07:07 81.849 netfxocm.log
15.08.2007 07:07 254.011 ocgen.log
15.08.2007 07:07 32.512 MedCtrOC.log
15.08.2007 07:07 23.428 msgsocm.log
15.08.2007 07:07 462.926 FaxSetup.log
15.08.2007 07:07 147.092 msmqinst.log
15.08.2007 07:07 36.005 updspapi.log
15.08.2007 07:07 1.374 imsins.BAK
15.08.2007 07:07 12.487 KB938828.log
15.08.2007 07:07 10.172 KB921503.log
15.08.2007 07:07 9.966 KB938829.log
15.08.2007 07:05 9.361 KB938127.log
15.08.2007 07:05 13.274 KB937143.log
15.08.2007 07:05 6.901 KB936782.log
15.08.2007 07:05 47.194 wmsetup.log
15.08.2007 07:04 501.914 setupapi.log
14.08.2007 10:30 7.665 cfgall.ini
14.08.2007 09:20 1.395 wincmd.ini
13.08.2007 16:30 50 wiaservc.log
13.08.2007 16:30 216 wiadebug.log
09.08.2007 16:30 4.082.402 Pfirewall.log.old
20.07.2007 00:47 109.056 catchme.exe
11.07.2007 07:15 6.625 KB936357.log
05.07.2007 07:31 12.420 WgaNotify.log
21.06.2007 07:03 19.460 KB927779.log
21.06.2007 07:03 16.169 KB927802.log
21.06.2007 07:02 16.787 KB928255.log
21.06.2007 07:02 16.677 KB931784.log
21.06.2007 07:02 15.344 KB929969.log
21.06.2007 07:02 17.057 KB925398.log
21.06.2007 07:01 16.050 KB923980.log
21.06.2007 07:01 13.300 KB924667.log
21.06.2007 07:01 15.214 KB924270.log
21.06.2007 07:01 13.411 KB931261.log
21.06.2007 07:01 14.039 KB927891.log
21.06.2007 07:01 23.015 KB931836.log
21.06.2007 07:01 17.267 KB933566.log
21.06.2007 07:00 10.647 KB929123.log
21.06.2007 07:00 9.814 KB926436.log
21.06.2007 07:00 10.125 KB930178.log
21.06.2007 07:00 10.741 KB932168.log
21.06.2007 07:00 9.325 KB918118.log
21.06.2007 07:00 8.529 KB926255.log
21.06.2007 07:00 8.953 KB929399.log
21.06.2007 06:59 8.491 KB920213.log
21.06.2007 06:59 6.861 KB935840.log
21.06.2007 06:58 6.693 KB930916.log
21.06.2007 06:58 6.784 KB935839.log
21.06.2007 06:58 6.044 KB928843.log
17.06.2007 00:11 51.200 nircmd.exe
13.06.2007 15:21 1.036.288 explorer.exe
04.06.2007 12:39 2.834 wmsetup10.log
05.04.2007 06:50 11.032 KB925902.log
.
.
.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3447-8C27

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 3447-8C27

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.11.2006 10:27 65 desktop.ini
07.06.2006 12:09 1.249 erma.inf
2 Datei(en) 1.314 Bytes
0 Verzeichnis(se), 62.489.620.480 Bytes frei

#2 Hi,

online prüfen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\TEMP\YI2DF4.EXE
C:\WINDOWS\system32\tbvntlml.dll
C:\WINDOWS\system32\opnkjjh.dll
C:\Temp\win4F.tmp.exe

Poste die Ergebnisse...

Chris

#3 C:\TEMP\YI2DF4.EXE - nichts
--------------------------------

C:\WINDOWS\system32\tbvntlml.dll:

AhnLab-V3 2007.8.15.0 2007.08.14 -
AntiVir 7.4.1.62 2007.08.15 HEUR/Crypted
Authentium 4.93.8 2007.08.15 -
Avast 4.7.1029.0 2007.08.13 Win32:Vundo-gen47
AVG 7.5.0.476 2007.08.14 -
BitDefender 7.2 2007.08.15 -
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.15 -
DrWeb 4.33 2007.08.15 Trojan.Virtumod
eSafe 7.0.15.0 2007.08.10 Suspicious Trojan/Worm
eTrust-Vet 31.1.5061 2007.08.15 -
Ewido 4.0 2007.08.14 -
FileAdvisor 1 2007.08.15 -
Fortinet 2.91.0.0 2007.08.15 -
F-Prot 4.3.2.48 2007.08.14 -
F-Secure 6.70.13030.0 2007.08.15 W32/Vundo.dam
Ikarus T3.1.1.12 2007.08.15 -
Kaspersky 4.0.2.24 2007.08.15 -
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.15 -
NOD32v2 2462 2007.08.15 -
Norman 5.80.02 2007.08.14 W32/Vundo.dam
Panda 9.0.0.4 2007.08.14 Suspicious file
Prevx1 V2 2007.08.15 -
Rising 19.36.21.00 2007.08.15 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.14 VIPRE.Suspicious
Symantec 10 2007.08.15 -
TheHacker 6.1.8.168 2007.08.14 -
VBA32 3.12.2.2 2007.08.14 -
VirusBuster 4.3.26:9 2007.08.14 -
Webwasher-Gateway 6.0.1 2007.08.15 Heuristic.Crypted

weitere Informationen
File size: 131680 bytes
MD5: bd32a13de2de3af0f525b1f712b11a62
SHA1: 730604a5c81567f5d33bb2f65a8de5569d1053c7
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

---------------------------------------------
C:\WINDOWS\system32\opnkjjh.dll:

AhnLab-V3 2007.8.15.0 2007.08.14 -
AntiVir 7.4.1.62 2007.08.15 TR/Vundo.Gen
Authentium 4.93.8 2007.08.15 -
Avast 4.7.1029.0 2007.08.13 -
AVG 7.5.0.476 2007.08.14 -
BitDefender 7.2 2007.08.15 -
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.15 -
DrWeb 4.33 2007.08.15 -
eSafe 7.0.15.0 2007.08.10 Suspicious Trojan/Worm
eTrust-Vet 31.1.5061 2007.08.15 -
Ewido 4.0 2007.08.14 -
FileAdvisor 1 2007.08.15 -
Fortinet 2.91.0.0 2007.08.15 -
F-Prot 4.3.2.48 2007.08.14 -
F-Secure 6.70.13030.0 2007.08.15 -
Ikarus T3.1.1.12 2007.08.15 not-a-virus:AdWare.Win32.Virtumonde.jp
Kaspersky 4.0.2.24 2007.08.15 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.15 -
NOD32v2 2462 2007.08.15 -
Norman 5.80.02 2007.08.14 -
Panda 9.0.0.4 2007.08.14 Suspicious file
Prevx1 V2 2007.08.15 -
Rising 19.36.21.00 2007.08.15 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.14 VIPRE.Suspicious
Symantec 10 2007.08.15 -
TheHacker 6.1.8.168 2007.08.14 -
VBA32 3.12.2.2 2007.08.14 -
VirusBuster 4.3.26:9 2007.08.14 -
Webwasher-Gateway 6.0.1 2007.08.15 Trojan.Vundo.Gen
weitere Informationen
File size: 43542 bytes
MD5: bd5b7be7271afcc4a87258bd2678f8b2
SHA1: 5d41f6344e81491ff1aa3426dea6995c08f8e93e
packers: PecBundle, PECompact
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

----------------------------------------

C:\Temp\win4F.tmp.exe : 0 Bytes received -> kann nicht analysiert werden,
kann die Datei auch nicht im Ordner Temp finden.


Mfg Michael

#4 Hi,

Bitte folgende Files zusätzlich prüfen:

Zitat

C:\Birth\winbirth.exe
C:\Discovery\User Input\userin32.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Achtung, temporär den Teatimer auschalten!
Sonst funktioniert u. U. das fixen nicht!

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tbvntlml


Files to delete:
C:\WINDOWS\SYSTEM32\tbvntlml.dll
C:\TEMP\YI2DF4.EXE
C:\WINDOWS\system32\opnkjjh.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\tbvntlml.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\tbvntlml.dll
O20 - Winlogon Notify: tbvntlml - C:\WINDOWS\SYSTEM32\tbvntlml.dll

Poste alle Logs, scanne mit: Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste auch hier das Log!


Chris

#5 Hallo!

Hab die beiden Dateien noch mal überprüft:

C:\Birth\winbirth.exe : nichts

---------------------------------
C:\Discovery\User Input\userin32.exe:

AhnLab-V3 2007.8.15.0 2007.08.14 -
AntiVir 7.4.1.62 2007.08.15 -
Authentium 4.93.8 2007.08.15 -
Avast 4.7.1029.0 2007.08.13 -
AVG 7.5.0.476 2007.08.14 -
BitDefender 7.2 2007.08.15 -
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.15 -
DrWeb 4.33 2007.08.15 -
eSafe 7.0.15.0 2007.08.10 -
eTrust-Vet 31.1.5061 2007.08.15 -
Ewido 4.0 2007.08.14 -
FileAdvisor 1 2007.08.15 -
Fortinet 2.91.0.0 2007.08.15 -
F-Prot 4.3.2.48 2007.08.14 -
F-Secure 6.70.13030.0 2007.08.15 -
Ikarus T3.1.1.12 2007.08.15 -
Kaspersky 4.0.2.24 2007.08.15 -
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.15 -
NOD32v2 2462 2007.08.15 -
Norman 5.80.02 2007.08.14 -
Panda 9.0.0.4 2007.08.14 -
Prevx1 V2 2007.08.15 -
Rising 19.36.21.00 2007.08.15 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.14 -
Symantec 10 2007.08.15 -
TheHacker 6.1.8.168 2007.08.14 -
VBA32 3.12.2.2 2007.08.14 -
VirusBuster 4.3.26:9 2007.08.14 -
Webwasher-Gateway 6.0.1 2007.08.15 Virus.Win32.FileInfector.gen!86 (suspicious)
weitere Informationen
File size: 212992 bytes
MD5: c3150b84086bf4ae3d8c6c433cffaf30
SHA1: 29fcd99d2d1bbbb647f633e83a9d53b96dc846c3
packers: PKLITE32
packers: PKLite32


--------------------------------
Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\drwtkeqh

*******************

Script file located at: \??\C:\WINDOWS\system32\lrccveme.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\tbvntlml.dll deleted successfully.
File C:\TEMP\YI2DF4.EXE deleted successfully.
File C:\WINDOWS\system32\opnkjjh.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tbvntlml deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

------------------------------------

Cureit läuft noch, hat aber auch noch was gefunden, kann jedoch leider erst morgen weiter machen! Melde mich morgen mit dem Log von Cureit. Vielen Dank schon mal! Die Popups sind bereits weg und das gelbe Symbol ist auch verschwunden. Sieht also schon ganz gut aus...

Mfg Michael

#6 Hi,

bin morgen leider nicht zu erreichen da geschäftlich unterwegs
(muss halt auch Geld verdienen.. ;o)...

Falls alles läuft:
Backups von Avenger&Co löschen (da tummeln sich jetzt die kleinen "Untiere"):

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren




Chris

#7 Hi!

Ja, scheint alles zu laufen. Dateien lösche ich. Dr Web hat folgendes gefunden:

r_server.exe c:\windows\system32 Program.RemoteAdmin
backup-20070815-075439-848.dll C:\Dokumente und Einstellungen\knoell\Eigene Dateien\backups Trojan.Virtumod Gelöscht.
AdmDll.dll C:\Programme\RAdmin Program.RemoteAdmin.21
raddrv.dll C:\Programme\RAdmin Program.RemoteAdmin
Radmin.exe C:\Programme\RAdmin Program.RemoteAdmin
R_server.exe C:\Programme\RAdmin Program.RemoteAdmin
gebyy.dll.vir C:\QooBox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod Gelöscht.
xxyaawu.dll.vir C:\QooBox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod Gelöscht.
AdmDll.dll C:\WINDOWS\system32 Program.RemoteAdmin.21
raddrv.dll C:\WINDOWS\system32 Program.RemoteAdmin
r_server.exe C:\WINDOWS\system32 Program.RemoteAdmin


Remote server und Remote admin sind Programme in unserer Firma, mit denen
man andere Rechner fernsteuern kann, denke nicht, daß die Probleme machen.

Danke für die Hilfe!

Mfg Michael