Trojaner Tr/vundo Gen. bin am Verzweifeln

#0
01.09.2007, 11:44
...neu hier

Beiträge: 7
#1 hi leute

ich bin im moment am verzweifeln bitte um hilfe

also ich hab ja schon mal hijackThis heruntergeladen und ne log datei angefertigt

und mit vundoFIX geht bei mir mal gar nichts ich bitte um hilfe....

ich weiß das thema is alt aber da ich neu formatiert hab is es nun bie mir aktuell


Logfile of HijackThis v1.99.1
Scan saved at 11:34:52, on 01.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\steam\steam.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Gollwi\Desktop\VundoFix.exe
C:\Dokumente und Einstellungen\Gollwi\Desktop\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Gqhfnwvb\urhwtzee.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {C1ADC5ED-FB26-4770-AFE5-BD3A7EB5C148} - C:\WINDOWS\system32\khfcawx.dll
O2 - BHO: Voice Soft - {C222CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\sendmail.dll (file missing)
O2 - BHO: (no name) - {CC93F92C-62BE-6C3A-B95C-3776123B05CD} - C:\WINDOWS\system32\vvioqvs.dll (file missing)
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Msne] "C:\PROGRA~1\DOBE~1\wuauboot.exe" -vt yazb
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: khfcawx - C:\WINDOWS\SYSTEM32\khfcawx.dll
O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
O21 - SSODL: MailExport - {C222CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\sendmail.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe


falls es hilft die datei ( nach antivir ) heißt khfcawx.dll



VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 11:22:37 01.09.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 11:37:10 01.09.2007

Listing files found while scanning....

No infected files were found.

x V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 11:44:52 01.09.2007

Listing files found while scanning....


Beginning removal...
No infected files were found.
Dieser Beitrag wurde am 02.09.2007 um 14:34 Uhr von Gollwi editiert.
Seitenanfang Seitenende
02.09.2007, 12:10
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Poste das log C:\vundofix.txt
__________
MfG Argus
Seitenanfang Seitenende
03.09.2007, 11:48
...neu hier

Themenstarter

Beiträge: 7
#3 VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 11:22:37 01.09.2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 11:37:10 01.09.2007

Listing files found while scanning....

No infected files were found.

x V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 11:44:52 01.09.2007

Listing files found while scanning....


Beginning removal...
No infected files were found.
Seitenanfang Seitenende
03.09.2007, 13:43
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

muss leider gleich weg, daher nur kurz (und heute abend weiter):

Bitte folgende Files prüfen:

Zitat

C:\WINDOWS\SYSTEM32\khfcawx.dll
C:\PROGRA~1\DOBE~1\wuauboot.exe
C:\WINDOWS\system32\vvioqvs.dll
C:\Programme\Gqhfnwvb\urhwtzee.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

chris

Auf die Schnell:
Falls alles erkannt wird das hier durchführn (nicht erkannte Files rauslöschen),
Files die nicht gefunden wurden drin lassen:

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Msne
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Msne

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmxw32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfcawx


Files to delete:
C:\WINDOWS\SYSTEM32\khfcawx.dll
C:\PROGRA~1\DOBE~1\wuauboot.exe
C:\WINDOWS\system32\vvioqvs.dll
C:\Programme\Gqhfnwvb\urhwtzee.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat


O2 - BHO: (no name) - {39C6B6C8-E01E-3175-B583-04FDA1EE088B} - C:\Programme\Gqhfnwvb\urhwtzee.dll
O2 - BHO: (no name) - {C1ADC5ED-FB26-4770-AFE5-BD3A7EB5C148} - C:\WINDOWS\system32\khfcawx.dll
O2 - BHO: (no name) - {CC93F92C-62BE-6C3A-B95C-3776123B05CD} - C:\WINDOWS\system32\vvioqvs.dll (file missing)
O2 - BHO: Voice Soft - {C222CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\sendmail.dll (file missing)
O4 - HKCU\..\Run: [Msne] "C:\PROGRA~1\DOBE~1\wuauboot.exe" -vt yazb
O20 - Winlogon Notify: khfcawx - C:\WINDOWS\SYSTEM32\khfcawx.dll
O20 - Winlogon Notify: winmxw32 - winmxw32.dll (file missing)
O21 - SSODL: MailExport - {C222CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\sendmail.dll (file missing)


Scanne dann noch mit Cureit
Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Poste alle Logs/Ausgaben!


Chris
Dieser Beitrag wurde am 03.09.2007 um 13:56 Uhr von Chris4You editiert.
Seitenanfang Seitenende
03.09.2007, 17:55
...neu hier

Themenstarter

Beiträge: 7
#5 ntivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.09.03 -
AntiVir 7.4.1.66 2007.09.03 -
Authentium 4.93.8 2007.09.02 -
Avast 4.7.1029.0 2007.09.03 -
AVG 7.5.0.485 2007.09.03 -
BitDefender 7.2 2007.09.03 -
CAT-QuickHeal 9.00 2007.09.03 -
ClamAV 0.91.2 2007.09.03 -
DrWeb 4.33 2007.09.03 -
eSafe 7.0.15.0 2007.09.02 -
eTrust-Vet 31.1.5105 2007.09.03 -
Ewido 4.0 2007.09.03 -
FileAdvisor 1 2007.09.03 -
Fortinet 3.11.0.0 2007.09.03 -
F-Prot 4.3.2.48 2007.09.02 -
F-Secure 6.70.13030.0 2007.09.03 -
Ikarus T3.1.1.12 2007.09.03 -
Kaspersky 4.0.2.24 2007.09.03 -
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.03 -
NOD32v2 2499 2007.09.03 -
Norman 5.80.02 2007.09.03 -
Panda 9.0.0.4 2007.09.02 -
Prevx1 V2 2007.09.03 -
Rising 19.39.02.00 2007.09.03 -
Sophos 4.21.0 2007.09.03 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.03 -
TheHacker 6.1.9.175 2007.09.02 -
VBA32 3.12.2.3 2007.09.03 -
VirusBuster 4.3.26:9 2007.09.03 -
Webwasher-Gateway 6.0.1 2007.09.03 -
weitere Informationen
File size: 3876 bytes
MD5: 19dde5a9b79cb36a5e418a46614ce057
SHA1: 3b98389f9a45ec43694ae196bc3646e4ef14b8d0
Seitenanfang Seitenende
03.09.2007, 18:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
03.09.2007, 23:52
...neu hier

Themenstarter

Beiträge: 7
#7 ComboFix 07-08-30.3 - "Gollwi" 2007-09-01 13:29:27.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1129 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\Gollwi\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\Gollwi\ANWEND~1\ystem~1
C:\Programme\dobe~1
C:\Programme\dobe~1\?dobe\
C:\Programme\outerinfo
C:\Programme\outerinfo\Terms.rtf
C:\Programme\SecCenter
C:\Programme\SecCenter\scprot4.exe~
C:\WINDOWS\system32\wnstsicomsv32.exe
C:\WINDOWS\system32\xpdx.sys


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\xpdx


((((((((((((((((((((((((( Files Created from 2007-08-01 to 2007-09-01 )))))))))))))))))))))))))))))))


2007-09-01 13:28 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-01 11:22 <DIR> d-------- C:\VundoFix Backups
2007-08-31 22:09 25,544 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-08-31 22:09 <DIR> d-------- C:\Programme\Hamachi
2007-08-31 22:09 <DIR> d-------- C:\DOKUME~1\Gollwi\ANWEND~1\Hamachi
2007-08-31 17:28 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-08-31 17:21 <DIR> d-------- C:\WINDOWS\pss
2007-08-31 17:21 <DIR> d-------- C:\Programme\OO Software
2007-08-31 15:17 <DIR> d-------- C:\DOKUME~1\Gollwi\ANWEND~1\WinRAR
2007-08-31 14:49 <DIR> d-------- C:\DOKUME~1\Gollwi\ANWEND~1\teamspeak2
2007-08-31 14:02 1,451 --a------ C:\WINDOWS\mozver.dat
2007-08-31 13:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
2007-08-31 00:02 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-08-31 00:02 <DIR> d-------- C:\Programme\Winamp
2007-08-31 00:01 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2007-08-31 00:01 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-08-31 00:01 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-08-31 00:01 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-08-31 00:01 5,504 --a------ C:\WINDOWS\system32\drivers\intelide.sys
2007-08-31 00:01 42,368 --a--c--- C:\WINDOWS\system32\dllcache\agp440.sys
2007-08-31 00:01 42,368 --a------ C:\WINDOWS\system32\drivers\AGP440.SYS
2007-08-31 00:00 774,144 --a--c--- C:\WINDOWS\system32\dllcache\spttseng.dll
2007-08-31 00:00 77,824 --a--c--- C:\WINDOWS\system32\dllcache\spcommon.dll
2007-08-31 00:00 741,376 --a--c--- C:\WINDOWS\system32\dllcache\sapi.dll
2007-08-31 00:00 65,536 --a--c--- C:\WINDOWS\system32\dllcache\spcplui.dll
2007-08-31 00:00 36,864 --a--c--- C:\WINDOWS\system32\dllcache\sapisvr.exe
2007-08-31 00:00 <DIR> d--hs---- C:\WINDOWS\Installer
2007-08-31 00:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-08-31 00:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-08-30 23:59 <DIR> dr-h----- C:\DOKUME~1\DEFAUL~1\Lokale Einstellungen
2007-08-30 23:59 <DIR> dr------- C:\DOKUME~1\DEFAUL~1\Startmen
2007-08-30 23:59 <DIR> dr------- C:\DOKUME~1\ALLUSE~1\Startmen
2007-08-30 23:59 <DIR> dr------- C:\DOKUME~1\ALLUSE~1\Dokumente
2007-08-30 23:59 <DIR> d--h----- C:\DOKUME~1\DEFAUL~1\Vorlagen
2007-08-30 23:59 <DIR> d--h----- C:\DOKUME~1\DEFAUL~1\Netzwerkumgebung
2007-08-30 23:59 <DIR> d--h----- C:\DOKUME~1\DEFAUL~1\Druckumgebung
2007-08-30 23:59 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Vorlagen
2007-08-30 23:59 <DIR> d-------- C:\DOKUME~1\DEFAUL~1\Favoriten
2007-08-30 23:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Favoriten
2007-08-30 23:58 64,387 --a------ C:\WINDOWS\BricoPackUninst.cmd
2007-08-30 23:57 6,116 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-08-30 23:57 <DIR> dr-h----- C:\DOKUME~1\DEFAUL~1\Anwendungsdaten
2007-08-30 23:57 <DIR> dr-h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten
2007-08-30 23:57 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-08-30 23:57 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2007-08-30 23:57 <DIR> d-------- C:\WINDOWS\BricoPacks
2007-08-30 23:57 <DIR> d-------- C:\Dokumente und Einstellungen
2007-08-30 23:41 <DIR> d-------- C:\Programme\Steam
2007-08-30 23:41 <DIR> d-------- C:\Programme\ICQLite
2007-08-30 23:41 <DIR> d-------- C:\DOKUME~1\Gollwi\ANWEND~1\ICQLite
2007-08-30 23:38 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-08-30 23:37 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-30 23:35 <DIR> d-------- C:\DOKUME~1\Gollwi\ANWEND~1\Logitech
2007-08-30 23:32 159,744 -ra------ C:\WINDOWS\system32\drivers\Fasttx2k.sys
2007-08-30 23:32 118,784 -ra------ C:\WINDOWS\system32\ptipbmf.dll
2007-08-30 23:31 189,568 -ra------ C:\WINDOWS\system32\drivers\yk51x86.sys
2007-08-30 23:31 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-08-30 23:29 81,920 -r------- C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe
2007-08-30 23:28 13,105 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.sys
2007-08-30 23:28 <DIR> d-------- C:\Programme\Logitech
2007-08-30 23:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2007-08-30 23:26 176,128 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-08-30 23:26 <DIR> d-------- C:\WINDOWS\nview
2007-08-30 23:25 <DIR> d-------- C:\Programme\Realtek Sound Manager
2007-08-30 23:24 <DIR> d-------- C:\Programme\AvRack
2007-08-30 23:24 <DIR> d-------- C:\Program Files
2007-08-30 23:23 299,520 --a------ C:\WINDOWS\uninst.exe
2007-08-30 23:23 <DIR> d-------- C:\Programme\ASUS
2007-08-30 23:23 <DIR> d-------- C:\DOKUME~1\Gollwi\WINDOWS
2007-08-30 23:22 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-08-30 23:16 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-08-30 23:16 <DIR> d-------- C:\Programme\Intel
2007-08-30 23:15 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2007-08-30 23:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-08-30 23:14 <DIR> dr-h----- C:\DOKUME~1\Gollwi\Anwendungsdaten
2007-08-30 23:14 <DIR> dr------- C:\DOKUME~1\Gollwi\Startmen
2007-08-30 23:14 <DIR> dr------- C:\DOKUME~1\Gollwi\Favoriten
2007-08-30 23:14 <DIR> dr------- C:\DOKUME~1\Gollwi\Eigene Dateien
2007-08-30 23:14 <DIR> d--h----- C:\DOKUME~1\Gollwi\Vorlagen
2007-08-30 23:14 <DIR> d--h----- C:\DOKUME~1\Gollwi\Netzwerkumgebung
2007-08-30 23:14 <DIR> d--h----- C:\DOKUME~1\Gollwi\Lokale Einstellungen
2007-08-30 23:14 <DIR> d--h----- C:\DOKUME~1\Gollwi\Druckumgebung
2007-08-30 23:13 <DIR> d--h----- C:\DOKUME~1\NETWOR~1\Lokale Einstellungen
2007-08-30 23:13 <DIR> d--h----- C:\DOKUME~1\LOCALS~1\Lokale Einstellungen
2007-08-30 23:13 <DIR> d-------- C:\DOKUME~1\NETWOR~1\Anwendungsdaten
2007-08-30 23:13 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Anwendungsdaten
2007-08-30 23:10 <DIR> d-------- C:\Programme\microsoft frontpage
2007-08-30 23:09 <DIR> d--hs---- C:\DOKUME~1\ALLUSE~1\DRM
2007-08-30 23:09 <DIR> d-------- C:\Programme\Online-Dienste
2007-08-30 23:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2007-08-30 23:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Dienste


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-09-01 10:14 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-08-31 23:32 --------- d-------- C:\Programme\pkdsbcng
2007-08-31 23:29 --------- d-------- C:\Programme\Wolfenstein - Enemy Territory
2007-08-30 23:58 219648 --a------ C:\WINDOWS\system32\uxtheme.dll
2003-08-31 23:00 98304 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\odijadgh.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39C6B6C8-E01E-3175-B583-04FDA1EE088B}]
2003-08-31 23:00 98304 --a------ C:\Programme\Gqhfnwvb\urhwtzee.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1ADC5ED-FB26-4770-AFE5-BD3A7EB5C148}]
2003-08-31 23:00 43542 --------- C:\WINDOWS\system32\khfcawx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C222CF73-124F-3562-44AC-E685D962C63C}]
C:\WINDOWS\Media\sendmail.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC93F92C-62BE-6C3A-B95C-3776123B05CD}]
C:\WINDOWS\system32\vvioqvs.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="C:\Program Files\ASUS\Probe\AsusProb.exe" []
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 10:53 C:\WINDOWS\SOUNDMAN.EXE]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 09:06 C:\WINDOWS\system32\ptipbmf.dll]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 10:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\steam\steam.exe" [2007-08-30 23:47]
"Msne"="C:\PROGRA~1\DOBE~1\wuauboot.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C1ADC5ED-FB26-4770-AFE5-BD3A7EB5C148}"= C:\WINDOWS\system32\khfcawx.dll [2003-08-31 23:00 43542]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"MailExport"= {C222CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\sendmail.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfcawx]
khfcawx.dll 2003-08-31 23:00 43542 C:\WINDOWS\system32\khfcawx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmxw32]
winmxw32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Gollwi^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\Gollwi\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avp]
C:\WINDOWS\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTDrive]
rundll32.exe C:\WINDOWS\system32\drvcuz.dll,startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\odijadgh]
regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\odijadgh.dll"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pkdsbcng]
rundll32.exe "C:\Programme\pkdsbcng\bglozwnk.dll",Init

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SC2]
C:\Programme\SecCenter\scprot4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smgr]
mgrs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sofxy]
"C:\Dokumente und Einstellungen\Gollwi\Anwendungsdaten\?ystem\r?gedit.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
AutoRun\command- J:\autoplay.exe


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-01 13:34:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-01 13:35:40 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-01 13:35

--- E O F ---
Seitenanfang Seitenende
04.09.2007, 19:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Entferne auf C:\Qoobox-->Papierkorb leeren

Poste mal die Daten von datFindbat http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
04.09.2007, 21:27
...neu hier

Themenstarter

Beiträge: 7
#9 .
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 204E-A632

Verzeichnis von C:\WINDOWS\system32

04.09.2007 21:25 29.204 nvapps.xml
04.09.2007 21:25 56.960 vsconfig.xml
04.09.2007 21:25 4.212 zllictbl.dat
04.09.2007 21:24 49.803 oodbs.lor
04.09.2007 20:33 146.650 BuzzingBee.wav
04.09.2007 20:33 125.690 LoopyMusic.wav
03.09.2007 13:46 107.008 FNTCACHE.DAT
02.09.2007 14:23 2.422 wpa.dbl
01.09.2007 15:02 9.779 rstwa.ini
01.09.2007 14:56 1.021.504 vete.dll
01.09.2007 14:10 6.448 rstwa.bak1
31.08.2007 17:58 34.308 BASSMOD.dll
31.08.2007 14:48 34.064 lhacm.acm
31.08.2007 14:03 5.214 jupdate-1.6.0_02-b06.log
31.08.2007 13:57 2.422 wpa.bak
31.08.2007 00:05 0 h323log.txt
30.08.2007 23:58 219.648 uxtheme.dll
30.08.2007 23:14 48.156 perfc007.dat
30.08.2007 23:14 311.604 perfh009.dat
30.08.2007 23:14 316.594 perfh007.dat
30.08.2007 23:14 39.992 perfc009.dat
30.08.2007 23:14 723.744 PerfStringBackup.INI
30.08.2007 23:12 261 $winnt$.inf
30.08.2007 23:10 2.951 CONFIG.NT
30.08.2007 23:10 16.832 amcompat.tlb
30.08.2007 23:10 23.392 nscompat.tlb
30.08.2007 23:09 488 logonui.exe.manifest
30.08.2007 23:09 488 WindowsLogon.manifest
30.08.2007 23:09 749 cdplayer.exe.manifest
30.08.2007 23:09 749 sapi.cpl.manifest
30.08.2007 23:09 749 wuaucpl.cpl.manifest
30.08.2007 23:09 749 nwc.cpl.manifest
30.08.2007 23:09 749 ncpa.cpl.manifest
30.08.2007 23:08 21.740 emptyregdb.dat
27.07.2007 01:06 144.704 DivXCodecVersionChecker.exe
27.07.2007 01:06 10.152 dsm_de.qm
27.07.2007 01:06 524.288 DivXsm.exe
27.07.2007 01:06 4.816 divxsm.tlb
27.07.2007 01:06 3.596.288 qt-dx331.dll
27.07.2007 01:06 187.128 pxmas.dll
27.07.2007 01:06 88.824 vxblock.dll
27.07.2007 01:06 518.904 pxdrv.dll
27.07.2007 01:06 120.056 pxcpyi64.exe
27.07.2007 01:06 1.628.920 pxsfs.dll
27.07.2007 01:06 379.640 pxwave.dll
27.07.2007 01:06 72.440 pxhpinst.exe
27.07.2007 01:06 64.760 pxinsa64.exe
27.07.2007 01:06 118.520 pxinsi64.exe
27.07.2007 01:06 551.672 px.dll
27.07.2007 01:06 129.784 pxafs.dll
27.07.2007 01:06 66.296 pxcpya64.exe
27.07.2007 01:06 200.704 ssldivx.dll
27.07.2007 01:06 1.044.480 libdivx.dll
27.07.2007 01:03 81.920 dpl100.dll
27.07.2007 01:03 196.608 dtu100.dll
27.07.2007 01:03 344.064 dpus11.dll
27.07.2007 01:03 593.920 dpuGUI11.dll
27.07.2007 01:03 53.248 dpuGUI10.dll
27.07.2007 01:03 57.344 dpv11.dll
27.07.2007 01:03 294.912 dpu11.dll
27.07.2007 01:03 294.912 dpu10.dll
27.07.2007 01:03 823.296 divx_xx07.dll
27.07.2007 01:03 740.442 DivX.dll
27.07.2007 01:03 802.816 divx_xx11.dll
27.07.2007 01:03 823.296 divx_xx0c.dll
27.07.2007 01:03 638.976 divxdec.ax
27.07.2007 01:03 352.401 DivXMedia.ax
27.07.2007 01:03 12.288 DivXWMPExtType.dll
27.07.2007 01:02 3.136 dtu_de.qm
27.07.2007 01:02 8.523 dpude.qm
22.07.2007 18:39 279.552 swreg.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe



Wie meinen mit "pro Ordner"?
Dieser Beitrag wurde am 05.09.2007 um 13:28 Uhr von Gollwi editiert.
Seitenanfang Seitenende
06.09.2007, 09:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Download: RemoveVideoActiveXObject by Smeenk,zum DesktopDanach doppelklicken
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken
Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht
zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
07.09.2007, 12:40
...neu hier

Themenstarter

Beiträge: 7
#11 ----------------RemoveVideoActiveXObject.exe first run-------------

Files found:

C:\WINDOWS\system32\rstwa.bak1

Uninstallers Rogue scanners:


Folders Found:


--------------RemoveVideoActiveXObject.exe last run---------------

Files found:


Uninstallers Rogue scanners:


Folders Found:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:54, on 07.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\programme\steam\steam.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Alles Zeug\HiJackThis202.exe

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {F74AA783-7073-4B40-8E8D-E8B2B8F86C44} - C:\WINDOWS\system32\awtsr.dll (file missing)
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3649 bytes
Seitenanfang Seitenende
07.09.2007, 13:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Entferne auf C:\RVAXO-results.log -->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {F74AA783-7073-4B40-8E8D-E8B2B8F86C44} - C:\WINDOWS\system32\awtsr.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


Schau mal ob diese noch da ist C:\WINDOWS\system32\rstwa.ini
wenn ja entfernen

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Und scanne nochmal mit dein up-to-date virenscanner
__________
MfG Argus
Seitenanfang Seitenende
08.09.2007, 14:23
...neu hier

Themenstarter

Beiträge: 7
#13 also bis jetz hat er noch nichts gefunden

Danke an dieser Stelle für eure Geduld und dass ihr mir so schnell helfen konntet...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: