TR/Vundo.Gen und weitere "Vundos" unlöschbar |
||
---|---|---|
#0
| ||
15.10.2007, 20:30
...neu hier
Beiträge: 2 |
||
|
||
15.10.2007, 23:04
Ehrenmitglied
Beiträge: 6028 |
#2
Entferne auf C:\ Qoobox-->Papierkorb leeren
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {2B63AD5D-2CE5-4D1D-9497-E3CBE2A3AB75} - C:\WINDOWS\System32\ddccc.dll (file missing) O2 - BHO: (no name) - {2F2F5275-9DF2-4CEB-8A13-07382A72063B} - C:\WINDOWS\System32\mljgg.dll O2 - BHO: {a67aab8b-fd04-8d0a-f454-4aad50039e2d} - {d2e93005-daa4-454f-a0d8-40dfb8baa76a} - C:\WINDOWS\System32\picodbrr.dll (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: awtsq - C:\WINDOWS\ O20 - Winlogon Notify: cbxvtuv - C:\WINDOWS\SYSTEM32\cbxvtuv.dll O20 - Winlogon Notify: ddaya - C:\WINDOWS\ O20 - Winlogon Notify: ddayw - C:\WINDOWS\ O20 - Winlogon Notify: ddccc - C:\WINDOWS\ O20 - Winlogon Notify: gebyw - C:\WINDOWS\ O20 - Winlogon Notify: geebc - C:\WINDOWS\ O20 - Winlogon Notify: jkhfc - C:\WINDOWS\ O20 - Winlogon Notify: jkkll - C:\WINDOWS\ O20 - Winlogon Notify: mljgd - C:\WINDOWS\ O20 - Winlogon Notify: pmkjj - C:\WINDOWS\ O20 - Winlogon Notify: pmnll - C:\WINDOWS\ O20 - Winlogon Notify: vtsqp - C:\WINDOWS\ klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\ggjlm.bak2 C:\WINDOWS\system32\mljgg.dll C:\WINDOWS\system32\ggjlm.bak1 C:\WINDOWS\system32\cccdd.bak2 C:\WINDOWS\system32\cccdd.bak1 C:\WINDOWS\system32\llkkj.bak1 C:\WINDOWS\system32\pqstv.bak1 C:\WINDOWS\system32\wybeg.bak2 C:\WINDOWS\system32\jjkmp.bak2 C:\WINDOWS\system32\wybeg.bak1 C:\WINDOWS\system32\llnmp.bak1 C:\WINDOWS\system32\cbeeg.bak1 C:\WINDOWS\system32\dgjlm.bak1 C:\WINDOWS\system32\qstwa.bak1 C:\WINDOWS\system32\cfhkj.bak1 C:\WINDOWS\system32\jjkmp.bak1 C:\WINDOWS\system32\ayadd.bak1 C:\WINDOWS\system32\wyadd.bak2 C:\WINDOWS\system32\wyadd.bak1 C:\WINDOWS\system32\cbxvtuv.dll Folder:: C:\Programme\Error Safe Free 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix Und ein log von Hijack This __________ MfG Argus |
|
|
||
16.10.2007, 20:44
...neu hier
Themenstarter Beiträge: 2 |
#3
Gesagt, getan!
Folgendes Log wurde erstellt: ComboFix 07-10-12.4 - Carmen 2007-10-16 20:33:22.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.230 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Carmen\Desktop\ComboFix(2).exe Command switches used :: C:\Dokumente und Einstellungen\Carmen\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE:: C:\Programme\Error Safe Free C:\WINDOWS\system32\ayadd.bak1 C:\WINDOWS\system32\cbeeg.bak1 C:\WINDOWS\system32\cbxvtuv.dll C:\WINDOWS\system32\cccdd.bak1 C:\WINDOWS\system32\cccdd.bak2 C:\WINDOWS\system32\cfhkj.bak1 C:\WINDOWS\system32\dgjlm.bak1 C:\WINDOWS\system32\ggjlm.bak1 C:\WINDOWS\system32\ggjlm.bak2 C:\WINDOWS\system32\jjkmp.bak1 C:\WINDOWS\system32\jjkmp.bak2 C:\WINDOWS\system32\llkkj.bak1 C:\WINDOWS\system32\llnmp.bak1 C:\WINDOWS\system32\mljgg.dll C:\WINDOWS\system32\pqstv.bak1 C:\WINDOWS\system32\qstwa.bak1 C:\WINDOWS\system32\wyadd.bak1 C:\WINDOWS\system32\wyadd.bak2 C:\WINDOWS\system32\wybeg.bak1 C:\WINDOWS\system32\wybeg.bak2 . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ayadd.bak1 C:\WINDOWS\system32\cbeeg.bak1 C:\WINDOWS\system32\cbxvtuv.dll C:\WINDOWS\system32\cccdd.bak1 C:\WINDOWS\system32\cccdd.bak2 C:\WINDOWS\system32\cfhkj.bak1 C:\WINDOWS\system32\dgjlm.bak1 C:\WINDOWS\system32\ggjlm.bak1 C:\WINDOWS\system32\ggjlm.bak2 C:\WINDOWS\system32\jjkmp.bak1 C:\WINDOWS\system32\jjkmp.bak2 C:\WINDOWS\system32\llkkj.bak1 C:\WINDOWS\system32\llnmp.bak1 C:\WINDOWS\system32\mljgg.dll C:\WINDOWS\system32\pqstv.bak1 C:\WINDOWS\system32\qstwa.bak1 C:\WINDOWS\system32\wyadd.bak1 C:\WINDOWS\system32\wyadd.bak2 C:\WINDOWS\system32\wybeg.bak1 C:\WINDOWS\system32\wybeg.bak2 . ((((((((((((((((((((((( Dateien erstellt von 2007-09-16 bis 2007-10-16 )))))))))))))))))))))))))))))) . 2007-10-14 19:11 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-11 14:15 <DIR> d-------- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\Apple Computer 2007-10-06 22:28 <DIR> d-------- C:\Programme\TryMedia 2007-09-22 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\WeatherDPA . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-11 12:48 --------- d-----w C:\Programme\Error Safe Free 2007-10-07 11:34 --------- d-----w C:\Programme\ICQLite 2007-10-06 20:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2007-10-06 20:59 --------- d-----w C:\Programme\BitComet 2007-10-06 20:54 --------- d-----w C:\Programme\Save 2007-10-06 20:52 --------- d-----w C:\Programme\LimeWire 2007-10-06 20:52 --------- d-----w C:\Programme\Ahead 2007-10-05 21:04 --------- d-----w C:\Programme\ICQToolbar 2007-09-22 12:08 --------- d-----w C:\Programme\ShopperReports 2007-09-22 12:08 --------- d-----w C:\Programme\HbTools_Icons 2006-12-04 13:45 28,128 ----a-w C:\Dokumente und Einstellungen\Carmen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "@"="" [] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:00] "RegServer"="regserve.exe" [2004-11-25 04:51 C:\WINDOWS\system32\RegServe.exe] "XGIWatchDog"="twatdog.exe" [2004-11-25 04:51 C:\WINDOWS\system32\TWatDog.exe] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15] "Cmaudio"="cmicnfg.cpl" [] "ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 18:49] "Conceptronic Conceptronic 54Mbps Wireless Utility"="C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe" [2005-01-26 16:12] "BearShare"="C:\Programme\BearShare\BearShare.exe" [] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-13 12:00] "alphadixxLightE"="C:\Programme\alphadixxLightE\adlight.exe" [2004-02-10 00:00] "alphadixxLightS"="C:\Programme\alphadixxLightS\adlight.exe" [2004-02-10 00:00] "Ulead Photo Express 5 SE Calendar Checker"="C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 20:40] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-10-18 03:04] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "<NO NAME>"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 nwprovau C:\WINDOWS\System32\mljgg.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\System32\DRIVERS\netdsl.sys R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\System32\drivers\SSHDRV84.sys R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\System32\DRIVERS\fwlanusb.sys R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS R3 Xgiv3;Xgiv3;C:\WINDOWS\System32\DRIVERS\Xgiv3m.sys . Inhalt des "geplante Tasks" Ordners "2007-10-16 18:30:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job" . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-16 20:37:33 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-10-16 20:38:32 - machine was rebooted C:\ComboFix2.txt ... 2007-10-15 20:04 C:\ComboFix3.txt ... 2007-10-14 19:17 . --- E O F --- Zwischenzeitlich stand in dem Combofix-Fenster irgendetwas von "Das Wort "lösche" ist entweder falsch geschrieben, oder........" Weiß nicht ob das was zu beduten hat. Danke schonmal für die kompetente Hilfe |
|
|
||
16.10.2007, 20:55
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\
Qoobox Programme\Error Safe Free Programme\HbTools_Icons Papierkorb leeren Poste nochmal ein log von Hijack This __________ MfG Argus |
|
|
||
ComboFix 07-10-12.4 - Carmen 2007-10-15 20:00:13.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.184 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Carmen\Desktop\ComboFix(2).exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Jule\Desktop\internet.lnk
.
((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.
2007-10-14 19:11 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-11 14:15 <DIR> d-------- C:\Dokumente und Einstellungen\Malte\Anwendungsdaten\Apple Computer
2007-10-07 11:42 59,983 ---hs---- C:\WINDOWS\system32\ggjlm.bak2
2007-10-06 22:28 <DIR> d-------- C:\Programme\TryMedia
2007-10-06 13:13 318,048 --------- C:\WINDOWS\system32\mljgg.dll
2007-10-06 13:13 6,363 ---hs---- C:\WINDOWS\system32\ggjlm.bak1
2007-10-02 19:36 19,525 ---hs---- C:\WINDOWS\system32\cccdd.bak2
2007-09-30 10:42 6,475 ---hs---- C:\WINDOWS\system32\cccdd.bak1
2007-09-29 13:39 7,692 ---hs---- C:\WINDOWS\system32\llkkj.bak1
2007-09-28 19:02 6,440 ---hs---- C:\WINDOWS\system32\pqstv.bak1
2007-09-27 20:00 14,855 ---hs---- C:\WINDOWS\system32\wybeg.bak2
2007-09-27 20:00 14,855 ---hs---- C:\WINDOWS\system32\jjkmp.bak2
2007-09-27 14:27 6,440 ---hs---- C:\WINDOWS\system32\wybeg.bak1
2007-09-26 14:27 6,440 ---hs---- C:\WINDOWS\system32\llnmp.bak1
2007-09-25 14:03 8,107 ---hs---- C:\WINDOWS\system32\cbeeg.bak1
2007-09-24 14:17 6,440 ---hs---- C:\WINDOWS\system32\dgjlm.bak1
2007-09-23 19:05 7,472 ---hs---- C:\WINDOWS\system32\qstwa.bak1
2007-09-22 17:02 6,521 ---hs---- C:\WINDOWS\system32\cfhkj.bak1
2007-09-22 14:11 6,480 ---hs---- C:\WINDOWS\system32\jjkmp.bak1
2007-09-22 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\WeatherDPA
2007-09-21 10:09 6,571 ---hs---- C:\WINDOWS\system32\ayadd.bak1
2007-09-18 13:24 6,786 ---hs---- C:\WINDOWS\system32\wyadd.bak2
2007-09-17 16:02 6,440 ---hs---- C:\WINDOWS\system32\wyadd.bak1
2007-09-17 15:56 23,552 --a------ C:\WINDOWS\system32\cbxvtuv.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-11 12:48 --------- d-----w C:\Programme\Error Safe Free
2007-10-07 11:34 --------- d-----w C:\Programme\ICQLite
2007-10-06 20:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-06 20:59 --------- d-----w C:\Programme\BitComet
2007-10-06 20:54 --------- d-----w C:\Programme\Save
2007-10-06 20:52 --------- d-----w C:\Programme\LimeWire
2007-10-06 20:52 --------- d-----w C:\Programme\Ahead
2007-10-05 21:04 --------- d-----w C:\Programme\ICQToolbar
2007-09-22 12:08 --------- d-----w C:\Programme\ShopperReports
2007-09-22 12:08 --------- d-----w C:\Programme\HbTools_Icons
2006-12-04 13:45 28,128 ----a-w C:\Dokumente und Einstellungen\Carmen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.
((((((((((((((((((((((((((((( snapshot@2007-10-14_19.16.35,34 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-09-28 16:56:34 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-10-14 17:19:15 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-09-28 16:56:34 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2007-10-14 17:20:28 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2007-09-28 16:56:34 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-10-14 17:19:15 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2007-05-22 10:08:36 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2007-10-15 17:54:58 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2007-05-22 10:08:36 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-10-15 17:54:58 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-05-22 10:08:36 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2007-10-15 17:54:58 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2007-05-22 10:08:36 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-10-15 17:54:58 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B63AD5D-2CE5-4D1D-9497-E3CBE2A3AB75}]
C:\WINDOWS\System32\ddccc.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2F5275-9DF2-4CEB-8A13-07382A72063B}]
2007-10-06 13:13 318048 --------- C:\WINDOWS\System32\mljgg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d2e93005-daa4-454f-a0d8-40dfb8baa76a}]
C:\WINDOWS\System32\picodbrr.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:00]
"RegServer"="regserve.exe" [2004-11-25 04:51 C:\WINDOWS\system32\RegServe.exe]
"XGIWatchDog"="twatdog.exe" [2004-11-25 04:51 C:\WINDOWS\system32\TWatDog.exe]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15]
"Cmaudio"="cmicnfg.cpl" []
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 18:49]
"Conceptronic Conceptronic 54Mbps Wireless Utility"="C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe" [2005-01-26 16:12]
"BearShare"="C:\Programme\BearShare\BearShare.exe" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-13 12:00]
"alphadixxLightE"="C:\Programme\alphadixxLightE\adlight.exe" [2004-02-10 00:00]
"alphadixxLightS"="C:\Programme\alphadixxLightS\adlight.exe" [2004-02-10 00:00]
"Ulead Photo Express 5 SE Calendar Checker"="C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe" [2004-01-12 20:40]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-10-18 03:04]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsq]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxvtuv]
cbxvtuv.dll 2007-09-17 15:56 23552 C:\WINDOWS\system32\cbxvtuv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddaya]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddayw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccc]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebc]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhfc]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgd]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsqp]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwprovau C:\WINDOWS\System32\mljgg.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\System32\DRIVERS\netdsl.sys
R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\System32\drivers\SSHDRV84.sys
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\System32\DRIVERS\fwlanusb.sys
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS
R3 Xgiv3;Xgiv3;C:\WINDOWS\System32\DRIVERS\Xgiv3m.sys
.
Inhalt des "geplante Tasks" Ordners
"2007-10-15 15:30:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 20:02:58
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 20:04:03
C:\ComboFix2.txt ... 2007-10-14 19:17
.
--- E O F ---
hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:03, on 15.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\twatdog.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\alphadixxLightE\adlight.exe
C:\Programme\alphadixxLightS\adlight.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Carmen\Desktop\Neuer Ordner\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2B63AD5D-2CE5-4D1D-9497-E3CBE2A3AB75} - C:\WINDOWS\System32\ddccc.dll (file missing)
O2 - BHO: (no name) - {2F2F5275-9DF2-4CEB-8A13-07382A72063B} - C:\WINDOWS\System32\mljgg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: {a67aab8b-fd04-8d0a-f454-4aad50039e2d} - {d2e93005-daa4-454f-a0d8-40dfb8baa76a} - C:\WINDOWS\System32\picodbrr.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [XGIWatchDog] twatdog.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [alphadixxLightE] C:\Programme\alphadixxLightE\adlight.exe AUTOSTART
O4 - HKLM\..\Run: [alphadixxLightS] C:\Programme\alphadixxLightS\adlight.exe AUTOSTART
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRA~1\ICQTOO~1\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {BFDFDB54-FA92-4FBC-970D-FD6A258D4F9F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {BFDFDB54-FA92-4FBC-970D-FD6A258D4F9F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64CA64A3-9E6E-4107-A648-68617C1DBB27}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: awtsq - C:\WINDOWS\
O20 - Winlogon Notify: cbxvtuv - C:\WINDOWS\SYSTEM32\cbxvtuv.dll
O20 - Winlogon Notify: ddaya - C:\WINDOWS\
O20 - Winlogon Notify: ddayw - C:\WINDOWS\
O20 - Winlogon Notify: ddccc - C:\WINDOWS\
O20 - Winlogon Notify: gebyw - C:\WINDOWS\
O20 - Winlogon Notify: geebc - C:\WINDOWS\
O20 - Winlogon Notify: jkhfc - C:\WINDOWS\
O20 - Winlogon Notify: jkkll - C:\WINDOWS\
O20 - Winlogon Notify: mljgd - C:\WINDOWS\
O20 - Winlogon Notify: pmkjj - C:\WINDOWS\
O20 - Winlogon Notify: pmnll - C:\WINDOWS\
O20 - Winlogon Notify: vtsqp - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
--
End of file - 8140 bytes
Datfinder
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 34AA-0B01
Verzeichnis von C:\WINDOWS\system32
15.10.2007 20:14 60.807 ggjlm.ini
15.10.2007 19:54 39.992 perfc009.dat
15.10.2007 19:54 311.604 perfh009.dat
15.10.2007 19:54 316.594 perfh007.dat
15.10.2007 19:54 48.156 perfc007.dat
15.10.2007 19:54 723.744 PerfStringBackup.INI
15.10.2007 12:08 19 34aa1920
14.10.2007 17:43 59.983 ggjlm.bak2
14.10.2007 17:34 2.206 wpa.dbl
10.10.2007 16:58 694.012 drpfgteh.ini
09.10.2007 16:58 693.892 hdlwxqed.ini
08.10.2007 12:08 693.592 ybdpfjqv.ini
08.10.2007 12:07 693.532 wdbjrpjb.ini
07.10.2007 11:40 177.856 FNTCACHE.DAT
07.10.2007 00:34 53.198 cccdd.ini
07.10.2007 00:17 694.192 enyngcpt.ini
07.10.2007 00:11 19.525 cccdd.bak2
07.10.2007 00:11 694.132 vejhamvi.ini
07.10.2007 00:10 694.072 agewoumg.ini
06.10.2007 13:13 6.363 ggjlm.bak1
06.10.2007 13:13 318.048 mljgg.dll
05.10.2007 23:04 693.901 ssstlkvk.ini
05.10.2007 10:07 279.552 swreg.exe
04.10.2007 19:03 693.610 hacstfbs.ini
02.10.2007 19:35 6.570 pqstv.ini
02.10.2007 19:31 693.592 yqhavsvj.ini
02.10.2007 19:30 55.722 llkkj.ini
02.10.2007 19:30 55.337 cbeeg.ini
02.10.2007 19:30 14.925 wybeg.ini
02.10.2007 19:30 15.055 jjkmp.ini
02.10.2007 18:03 693.532 rsnfdxjp.ini
01.10.2007 11:20 365 srutv.ini
30.09.2007 10:42 6.475 cccdd.bak1
29.09.2007 13:39 7.692 llkkj.bak1
28.09.2007 19:02 6.440 pqstv.bak1
27.09.2007 20:00 14.855 jjkmp.bak2
27.09.2007 20:00 14.855 wybeg.bak2
27.09.2007 14:27 6.440 wybeg.bak1
26.09.2007 14:27 6.440 llnmp.bak1
25.09.2007 14:03 8.107 cbeeg.bak1
25.09.2007 13:46 58.065 qstwa.tmp
25.09.2007 13:46 58.065 qstwa.ini
25.09.2007 13:46 28.148 ayadd.ini
25.09.2007 13:46 10.783 dgjlm.ini
24.09.2007 14:17 6.440 dgjlm.bak1
23.09.2007 19:05 7.472 qstwa.bak1
23.09.2007 14:52 7.133 cfhkj.ini
23.09.2007 14:52 6.565 wyadd.ini
22.09.2007 17:02 6.521 cfhkj.bak1
22.09.2007 14:11 6.480 jjkmp.bak1
21.09.2007 10:09 6.571 ayadd.bak1
20.09.2007 09:58 6.786 wyadd.bak2
17.09.2007 16:02 6.440 wyadd.bak1
17.09.2007 15:56 23.552 cbxvtuv.dll
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 34AA-0B01
Verzeichnis von C:\DOKUME~1\Carmen\LOKALE~1\Temp
15.10.2007 20:14 99.359 datfind.txt
15.10.2007 20:00 16.384 ~DFADCC.tmp
15.10.2007 20:00 512 ~DFA447.tmp
15.10.2007 20:00 16.384 ~DFA43A.tmp
15.10.2007 19:50 49.152 ~DFA391.tmp
5 Datei(en) 181.791 Bytes
0 Verzeichnis(se), 22.520.020.992 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 34AA-0B01
Verzeichnis von C:\WINDOWS
15.10.2007 19:51 0 0.log
15.10.2007 19:50 159 wiadebug.log
15.10.2007 19:50 50 wiaservc.log
15.10.2007 19:50 2.048 bootstat.dat
15.10.2007 19:48 123.334 ntbtlog.txt
15.10.2007 19:43 32.540 SchedLgU.Txt
12.10.2007 23:42 251.995 wmsetup.log
06.10.2007 22:48 90 wa.INI
28.09.2007 09:06 135.168 catchme.exe
15.09.2007 21:05 54.156 QTFont.qfn
15.09.2007 18:23 787.482 setupapi.log
26.08.2007 15:27 1.409 QTFont.for
03.08.2007 22:13 850 avmcowlan.log
03.08.2007 22:13 1.495 avmadd32.log
.
.
Datentr„ger in Laufwerk C: ist Festplatte
Volumeseriennummer: 34AA-0B01
.
.
.
Zum Problem
Ich bekomme in letzter Zeit immer die Meldung von antivir, ich habe einen TR/Vundo.gen in der Datei "mligg.dll".
Kann mir jemand weiterhelfen wie ich das Ding wegbekomme?