Virtumonde.generic verseucht - VundoFix hat nicht geholfen :(

#1 Hallo zusammen,

kann mir bitte jemand helfen meinen Rechner wieder virenfrei zu
bekommen? Ich hab mir irgendwie Virtumonde eingefangen, welcher mich
extrem terrorisiert

Ich habe "ihn" schon versucht mit VundoFix zu entfernen, was aber
leider erfolglos blieb.

Kann mir bitte jemand helfen diesen Terroristen-Virus zu entfernen?
Ständig (manchmal 30 mal hintereinander) geht ein AntiVir-Popup auf,
und sagt, dass ein Trojanisches Pferd irgendwas machen will.

AntiVir meint, dass das Trojanische Pferd TR/Dldr.ConHook.Gen heißt.
Außerdem kommt es aus cbxvspm.dll im System32 Ordner.

Manchmal (z. B. jetzt) werde ich auch mit Registy-Einträgen zugebommt
(Spybot Search & Destroy fragt dann immer, ob ich den Eintrag zulassen
will. Wenn ich den Eintrag ablehne, kommt er direkt wieder. Wenn ich
„Merke diese Entscheidung“ auswähle, kommt jede Sekunde eine
Registry-Eintrag Anfrage, und ich muss den PC neu starten)


Was auch noch extrem stört, sind die ständigen Anfragen vom Internet
Explorer, um sich mit dem Internet zu verbinden (Ich benutze Opera
oder Firefox als Standard Browser).


Kann irgendjemand helfen diese Foltermaschine zu entfernen?
Mein Rechner ist total langsam geworden


Schonmal vielen Dank an jeden, der mir helfen kann oder will.



PS: Sorry, falls ich mein Problem mit einem der ähnlich aussehenden
Threads hätte lösen können. Mir kommt das ganze "etwas" heftiger vor
als es sich in den anderen Threads anhört. Ich dachte, dass man bei
sowas eine „individuelle“ Lösung braucht (es können ja noch andere
Viren vorhanden sein, bei denen man etwas anderes machen muss).
Deshalb wollte ich besser vorher nachfragen, bevor irgendwas kaputt
geht




Hier sind noch die in "NEUE BEITRÄGE ERSTELLEN" geforderte Berichte +
der Spybot Search & Destroy Scan Bericht.


Spybot Search & Destroy Scan:

Virtumonde.generic: Class ID (Registrierungsdatenbank-Schlüssel,
nothing done)
HKEY_CLASSES_ROOT\CLSID\{C004A8DA-623A-4409-B6ED-F3E3DA367792}

Virtumonde.generic: Browser helper object
(Registrierungsdatenbank-Schlüssel, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C004A8DA-623A-4409-B6ED-F3E3DA367792}

Virtumonde.generic: Einstellungen (Registrierungsdatenbank-Wert,
nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks\{C004A8DA-623A-4409-B6ED-F3E3DA367792}

Virtumonde.generic: Benutzer-Einstellungen
(Registrierungsdatenbank-Schlüssel, nothing done)

HKEY_USERS\S-1-5-21-1229272821-573735546-839522115-1004\Software\Micro
soft\Windows\CurrentVersion\Ext\Stats\{C004A8DA-623A-4409-B6ED-F3E3DA3
67792}


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---






2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-03-04 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-04-18 advcheck.dll (1.5.1.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-07-31 Tools.dll (2.1.2.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-09-26 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-09-26 Includes\DialerC.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-09-26 Includes\HijackersC.sbi (*)
2007-07-25 Includes\Keyloggers.sbi (*)
2007-09-26 Includes\KeyloggersC.sbi (*)
2007-09-12 Includes\Malware.sbi (*)
2007-09-26 Includes\MalwareC.sbi (*)
2007-09-05 Includes\PUPS.sbi (*)
2007-09-26 Includes\PUPSC.sbi (*)
2007-09-26 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-09-26 Includes\SecurityC.sbi (*)
2007-09-12 Includes\Spybots.sbi (*)
2007-09-26 Includes\SpybotsC.sbi (*)
2007-08-21 Includes\Tracks.uti
2007-09-12 Includes\Trojans.sbi (*)
2007-09-26 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll





1.
Temporaere Dateien beseitigen

erledigt

2.
Combofix

erledigt, hat allerdings keinen Bericht angezeigt
(allerdings erschien auf dem Destop ein Rar-Achiv mit einer Datei
namens jkhfd.dll. Außerdem war auf einmal der Internet Explorer auf
dem Destop (über dem Rar-Achive)

3.
Erstellen eines Hijackthis-Logfiles

erledigt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13, on 2007-09-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\ewido anti-spyware 4.0\guard.exe
E:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\UltraVNC\WinVNC.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network
Monitor\WLService.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network
Monitor\WMP54Gv4.exe
E:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\PC-Zeit\trap.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Java\jre1.6.0_01\bin\jusched.exe
E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
E:\Programme\Sandboxie\Control.exe
E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\notepad.exe
E:\Dokumente und Einstellungen\daniel\Eigene
Dateien\Downloads\System\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
about:blank
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D9AC858-C622-4193-885E-CFEAB8834BBE} -
C:\WINDOWS\system32\jkhfd.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} -
E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object -
{AC41D38F-B56D-40AD-94E0-B493D130C959} -
E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} -
C:\WINDOWS\system32\cbxvspm.dll
O2 - BHO: (no name) - {DE93083F-D91D-46BD-929A-077D2B86F421} - (no
file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} -
E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no
file)
O4 - HKLM\..\Run: [pczeit] "E:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AcronisTrueImage Monitor]
"E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service]
"E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe"
-servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched]
"E:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse ] E:\Programme\TCM\TCM COMBO
SET\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] E:\Programme\TCM\TCM COMBO
SET\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition
Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Babylon Client]
E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Z-Cron] E:\Programme\Z-Cron\z-cron.EXE
O4 - HKLM\..\Run: [TrustInstaller] "F:\Setup.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [FreeRAM XP] "E:\Programme\YourWare
Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [SandboxieControl]
E:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities
2006\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
(User 'Default user')
O4 - Startup: ClearProg.lnk = ?
O8 - Extra context menu item: RF - Formular ausfüllen -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern -
file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Translate with &Babylon -
res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate
.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084}
- C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent -
{193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} -
C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46}
- file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen -
{320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber
Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49}
- file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern -
{320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber
Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Send to Mindjet MindManager -
{531B9DC0-D8EE-4c76-A6EE-6C1E50569655} -
E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Copernic Agent -
{688DC797-DC11-46A7-9F1B-445F4F58CE6E} -
C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} -
file://E:\Programme\Siber Systems\AI
RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus -
{724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber
Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} -
C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker -
{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: Ladbrokes Poker -
{C2A80015-C447-4dc4-82DD-AED83D6ED57E} -
C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} -
E:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O17 -
HKLM\System\CCS\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699F
E}: NameServer = 192.168.1.1,192.168.1.2
O17 -
HKLM\System\CCS\Services\Tcpip\..\{D4C4FDE3-3149-43CD-A029-A2D0B7BC0F0
6}: NameServer = 192.168.1.1,192.168.1.2
O17 -
HKLM\System\CS1\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699F
E}: NameServer = 192.168.1.1,192.168.1.2
O17 -
HKLM\System\CS3\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699F
E}: NameServer = 192.168.1.1,192.168.1.2
O20 - Winlogon Notify: cbxvspm - C:\WINDOWS\SYSTEM32\cbxvspm.dll
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\system32\jkhfd.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis -
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer
(AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition
Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService)
- Avira GmbH - E:\Programme\AntiVir PersonalEdition
Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development
a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - E:\Programme\Gemeinsame
Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PDEngine - Raxco Software, Inc. -
E:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. -
E:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk -
E:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Search Engine Commando Schedule Service
(SECScheduleService) - Unknown owner - E:\Programme\Search Engine
Commando\ScheduleService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - UltraVNC -
E:\Programme\UltraVNC\WinVNC.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - E:\Programme\Linksys Wireless-G
PCI Wireless Network Monitor\WLService.exe

--
End of file - 10509 bytes



4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)


erledigt:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185

Verzeichnis von C:\WINDOWS\system32

2007-09-30 19:05 49,404 vsconfig.xml
2007-09-30 19:04 280 PDBootState
2007-09-30 18:05 24,576 VundoFixSVC.exe
2007-09-29 18:20 2,206 wpa.dbl
2007-09-25 18:10 34,308 BASSMOD.dll
2007-09-06 22:42 394,474 perfh009.dat
2007-09-06 22:42 60,190 perfc009.dat
2007-09-06 22:42 408,670 perfh007.dat
2007-09-06 22:42 72,702 perfc007.dat
2007-09-06 22:42 921,942 PerfStringBackup.INI
2007-08-30 23:08 355 iwlxcesr.ini
2007-08-30 22:14 295 pqlgleww.ini
2007-08-30 00:27 415 vyxldvfp.ini
2007-08-29 22:18 355 jiqdqsyp.ini
2007-08-29 19:18 295 uhinykla.ini
2007-08-28 22:57 295 rkkvjobc.ini
2007-08-27 23:03 295 bigsgxht.ini
2007-08-27 18:52 295 qdwcbjth.ini
2007-08-26 23:14 355 lfjjoixk.ini
2007-08-26 22:14 295 kpqveann.ini
2007-08-26 00:51 415 aosrhcwy.ini
2007-08-25 22:42 355 cdurtefu.ini
2007-08-25 21:39 295 pxnscsnm.ini
2007-08-25 19:36 10,884,472 SpoonUninstall.exe
2007-08-23 23:09 535 exmpuqgu.ini
2007-08-23 22:00 475 edyygcli.ini
2007-08-23 19:23 415 mlrcchlp.ini
2007-08-21 08:11 152,576 sevTab.ocx
2007-08-11 08:07 281,600 sevEin20.ocx
2007-08-08 12:48 132,608 sevMail32.ocx
2007-07-22 18:39 279,552 swreg.exe
2007-07-18 08:26 388,608 sevDataGrid2.ocx
2007-07-07 19:48 147,968 sevCmd3.ocx
2007-07-06 21:33 345 ggphkuce.ini
2007-07-06 06:44 1,053,740 paldwkgc.ini
2007-07-05 06:08 1,051,612 ivkftirc.ini
2007-07-04 06:51 1,032,943 xiuvlnye.ini
2007-07-02 22:41 345 twguqldc.ini
2007-07-01 21:36 345 myotsmfw.ini
2007-07-01 07:27 999,577 drptpnlt.ini
2007-06-29 20:43 345 idawekmf.ini
2007-06-29 07:25 975,220 miijgevo.ini
2007-06-28 07:32 959,959 mvcvtthm.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185

Verzeichnis von C:\DOKUME~1\daniel\LOKALE~1\Temp

2007-09-30 19:16 108,607 datfind.txt
2007-09-30 19:12 114,688 ~DF73B9.tmp
2007-09-30 19:10 173 jusched.log
2007-09-30 19:06 16,384 Perflib_Perfdata_9fc.dat
2007-09-30 19:06 16,384 Perflib_Perfdata_9e4.dat
5 Datei(en) 256,236 Bytes
0 Verzeichnis(se), 2,986,958,848 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185

Verzeichnis von C:\WINDOWS

2007-09-30 19:10 54,251 WindowsUpdate.log
2007-09-30 19:06 1,169 win.ini
2007-09-30 19:05 5,539 setupapi.log
2007-09-30 19:04 0 0.log
2007-09-30 19:04 50 wiaservc.log
2007-09-30 19:04 159 wiadebug.log
2007-09-30 19:03 2,048 bootstat.dat
2007-09-30 08:44 32,578 SchedLgU.Txt
2007-09-29 02:55 51 pp.enc
2007-09-27 21:52 1,113 wininit.ini
2007-09-27 21:52 243 SYSTEM.INI
2007-09-23 03:34 74,240 AKDeInstall.exe
2007-09-19 02:06 2,985 my.ini.old
2007-09-19 02:06 2,985 my.ini
2007-09-16 01:13 3,230 Sandboxie.ini
2007-09-13 01:46 114 winzipme.ini
2007-09-07 19:07 286,720 Setup1.exe
2007-09-07 19:07 73,216 ST6UNST.EXE
2007-08-25 19:36 11,221 wmsetup.log
2007-08-19 17:24 36,215 tabletoc.log
2007-08-19 17:24 328,880 tsoc.log
2007-07-20 00:47 109,056 catchme.exe
2007-07-05 13:36 82 link-whore.key
2007-06-17 00:11 51,200 NirCmd.exe



.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185

Verzeichnis von C:\WINDOWS\temp

2007-09-30 19:03 256 ZLT024ea.TMP
2007-09-30 19:03 256 ZLT024e7.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2,986,954,752 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A008-3185

Verzeichnis von C:\WINDOWS\Downloaded Program Files

.
.
.


5.
Problembeschreibung / Symptome ?

Siehe Einleitung

#2 Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D, deaktiviere den "Resident "TeaTimer".
Klicke auf "Advanced mode" > "JA" > "Tools" -Menu > klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)
Neu Starten

Entferne auf C:\VundoFix Backups--->Papierkorb leeren

Schau mal nach auf C:\ ob da combofix.txt steht,dessen Inhalt hier posten
__________
MfG Argus

#3 Vielen Dank für die schnelle Antwort.


Ich hab alles gemacht, was Du geschrieben hast.


In C:\ComboFix\ComboFix.txt steht das hier:

ComboFix 07-09-21.2 - "daniel" 2007-09-30 18:36:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.257 [GMT 2:00]
* Created a new restore point
.

(In C:\ gubt es noch die Datei VundoFix.txt. Soll ich die auch löschen?)

#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei
O2 - BHO: (no name) - {6D9AC858-C622-4193-885E-CFEAB8834BBE} -
C:\WINDOWS\system32\jkhfd.dll
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} -
C:\WINDOWS\system32\cbxvspm.dll
O2 - BHO: (no name) - {DE93083F-D91D-46BD-929A-077D2B86F421} - (no
file)
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no
file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 –u
O20 - Winlogon Notify: cbxvspm - C:\WINDOWS\SYSTEM32\cbxvspm.dll
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\system32\jkhfd.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne ComboFix von dein Desktop und auf C:\\Qoobox--->Papierkorb leeren

Download ComboFix und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt).
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein log von HijackThis
__________
MfG Argus

#5 Ok, hab ich alles gemacht.

In C:\ComboFix\ComboFix.txt steht:

ComboFix 07-09-30.10 - daniel 2007-10-01 0:56:12.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.214 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\daniel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.


Von HiJackThis hab ich kein Log bekommen (zumindest war auf dem Desktop, im Ordner, wo HiJackThis ist und in C:\ nichts)

#6 Und weiter steht im ComboFix log nichts?
Wenn du HJ startest und "Do a system scan and safe a logfile"kommt da kein logfile?
__________
MfG Argus

#7 Ja, ich hab den kompletten Inhalt aus C:\ComboFix\ComboFix.txt kopiert

Zitat

Wenn du HJ startest und "Do a system scan and safe a logfile"kommt da kein logfile?

Ich habe "Do a system scan and safe a logfile" ausgewählt (wie Du ja oben geschrieben hast - oder hab ich irgendwas falsch verstanden?)

Soll ich jetzt "Do a system scan and safe a logfile" laufen lassen?


EDIT:


Ich glaub jetzt hab ich's kapiert

Hier ist das Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:34, on 2007-10-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\ewido anti-spyware 4.0\guard.exe
E:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\UltraVNC\WinVNC.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
E:\Programme\Raxco\PerfectDisk\PDSched.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\PC-Zeit\trap.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Java\jre1.6.0_01\bin\jusched.exe
E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
E:\Programme\Sandboxie\Control.exe
E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\Programme\Opera\Opera.exe
E:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads\System\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {48E8DCE9-402E-4F2A-9042-456D5D854DE7} - C:\WINDOWS\system32\mlljh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll (file missing)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [pczeit] "E:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse ] E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Z-Cron] E:\Programme\Z-Cron\z-cron.EXE
O4 - HKLM\..\Run: [TrustInstaller] "F:\Setup.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [SandboxieControl] E:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ClearProg.lnk = ?
O8 - Extra context menu item: RF - Formular ausfüllen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4C4FDE3-3149-43CD-A029-A2D0B7BC0F06}: NameServer = 192.168.1.1,192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2
O20 - Winlogon Notify: cbxvspm - cbxvspm.dll (file missing)
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Search Engine Commando Schedule Service (SECScheduleService) - Unknown owner - E:\Programme\Search Engine Commando\ScheduleService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - E:\Programme\UltraVNC\WinVNC.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 10001 bytes

#8 Hast du unstehendes auch gemacht?wenn,ja musst du jetzt "Do a system scan and safe a logfile" laufen lassen
Und das log hier posten

Zitat

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

__________
MfG Argus

#9 Ich hab das Log in meinen letzten Post editiert


ach so, edit:

ja, das hatte ich gemacht

#10 Download KillBox zum Desktop
1.laden und entpacken
2."Delete on Reboot" und "Single File" anhaken + zu löschende Datei einkopieren (der Pfad muss korrekt sein)
reinkopieren:

C:\WINDOWS\system32\mlljh.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"

Und poste danach wieder ein log von Hijack This
__________
MfG Argus

#11 Ok, hier ist das log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:11, on 2007-10-01
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\ewido anti-spyware 4.0\guard.exe
E:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\UltraVNC\WinVNC.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
E:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\PC-Zeit\trap.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
E:\Programme\Java\jre1.6.0_01\bin\jusched.exe
E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Babylon\Babylon-Pro\Babylon.exe
E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
E:\Programme\Sandboxie\Control.exe
E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\Programme\Opera\Opera.exe
E:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads\System\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {48E8DCE9-402E-4F2A-9042-456D5D854DE7} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll (file missing)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [pczeit] "E:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "E:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse ] E:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] E:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Babylon Client] E:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Z-Cron] E:\Programme\Z-Cron\z-cron.EXE
O4 - HKLM\..\Run: [TrustInstaller] "F:\Setup.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "E:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [SandboxieControl] E:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "E:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ClearProg.lnk = ?
O8 - Extra context menu item: RF - Formular ausfüllen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Translate with &Babylon - res://E:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - E:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://E:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://linktrader.cyberspacehq.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4C4FDE3-3149-43CD-A029-A2D0B7BC0F06}: NameServer = 192.168.1.1,192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{18A25743-9F55-4D5A-AD10-48DC10C699FE}: NameServer = 192.168.1.1,192.168.1.2
O20 - Winlogon Notify: cbxvspm - cbxvspm.dll (file missing)
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - E:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - E:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Search Engine Commando Schedule Service (SECScheduleService) - Unknown owner - E:\Programme\Search Engine Commando\ScheduleService.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - E:\Programme\UltraVNC\WinVNC.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - E:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 10064 bytes

#12 Auf C:\!Killbox entfernen Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {48E8DCE9-402E-4F2A-9042-456D5D854DE7} - C:\WINDOWS\system32\mlljh.dll (file missing)
O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\cbxvspm.dll (file missing)
O20 - Winlogon Notify: cbxvspm - cbxvspm.dll (file missing)
O20 - Winlogon Notify: mlljh - C:\WINDOWS\system32\mlljh.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Frage:funktioniert ewido anti-spyware 4.0 noch stehts bei dir?
Unter O23 steht "Search Engine Commando Schedule Service"wird die noch benutzt?

In Windows\system32\ stehen viele unbekannte sachen bis 2007-06-28
Poste bitte nochmal datfindbat mit Daten die noch weiter zurueck gehen
z.b ab 1-1-2007 diese bat file erst machen nachdem Kaspersky gelaufen ist
Ich komme noch darauf zurueck es ist mir jetzt zu spaet

Scanne mit Multi-AV und waehle Kaspersky
http://www.virus-protect.org/multiavtool.html
Aber download von hier (sehe Anhang)


__________
MfG Argus

#13 Ok, alles erledigt.


Ich möchte Dir hiermit schon mal ganz herzlich für Deine Hilfe danken - ich bin echt extrem froh, dass Du mir bei meinem Problem hilfst.

Zitat

funktioniert ewido anti-spyware 4.0 noch stehts bei dir?

Ich lass ewido manchmal das System überprüfen und da funktioniert er ganz normal (soweit ich das beurteilen kann).

Oh, da fällt mir was ein: Ich hab vergessen, zu erzählen, dass Ad-Aware SE Personal nicht mehr funktioniert. Wenn ich es starte und das System checken will, fährt der Rechner einfach runter (hab ich einige mal getestet).



Zu "Search Engine Commando Schedule Service":

Soweit ich mich erinnere, habe ich das Programm bereits deinstalliert (ich finde es auf jeden Fall nicht mehr auf meiner Platte)


Hier ist ein Bericht von Kaspersky (nachdem ich den "normalen" Kaspersky-Scan gemacht hatte, hatte mich das Programm gefragt ob ich jetzt noch einen anderen Scan mit Kaspersky machen will. Von diesem Scan stammt der Bericht (anscheinend).

edit:

anscheinend ist der Text zu lang. Ich häng die beiden Berichte als txt file an.

#14 Hi,

in Deiner Sandbox (Sandboxie?) hast Du jede Menge Viren/Trojaner angesammelt, komplett löschen (nichts von der Sandbox übernehmen!)...

-> http://www.sandboxie.com/index.php?DeletingTheSandbox

Chris (Back to Arni)

#15 Danke Chis.

Du meinst ich soll alles löschen, ohne die ganzen Downloads zu sichern? Das wäre aber sehr übel, wenn mir das alles verloren ginge.


PS: Ja, das ist Sandboxy


Edit:


kann man nicht irgendwie die infizierten Dinge löschen, und den Rest freigeben?