TR/Vundo.Gen ;Wie kann ich den Trojaner Entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.10.2007, 21:25
...neu hier

Beiträge: 5
#1 Hallo,
hab mir den Virus TR/Vundo eingefangen. Ich weiß nich mehr weiter.
Bitte helft mir!!!
Kenne mich nich so gut aus, also bitte ausfühlich.
Danke schon mal im Vorraus.
Hier noch mein Logfile (HijackThis) :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:44, on 20.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\TRENDM~1\PRFUNG~1.COM\PRUEFUNG.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BHO-X - {317833AD-3A96-11DC-8314-0911200C9A66} - C:\Programme\ObjectX\ie-improver.dll (file missing)
O2 - BHO: (no name) - {6DB3F881-19A2-4085-ABD0-DBD56E71F4F5} - C:\WINDOWS\system32\yayyyvv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: BHO_X - {A17835AD-3A92-11DA-8324-0911200C9AA6} - C:\Programme\BHO-X\ie-improver.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C6287A86-5787-4224-8DC2-5DBF5F176638} - C:\WINDOWS\System32\jkklj.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\vhlwhzxa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button:{CCB1B892-287D-49A8-9F7F-C012D65F85E9} (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control)opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object)
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control)
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} -
O20 - Winlogon Notify: yayyyvv - C:\WINDOWS\SYSTEM32\yayyyvv.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8926 bytes


PS: Bitte helft mir schnell
Dieser Beitrag wurde am 20.10.2007 um 21:31 Uhr von addy5770 editiert.
Seitenanfang Seitenende
20.10.2007, 23:16
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 10:12
...neu hier

Themenstarter

Beiträge: 5
#3 Danke für deine Hilfe,
hier das Log:


ComboFix 07-10-20.6 - addy 2007-10-21 10:02:20.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.286 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\addy\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\Programme\outlook
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip


((((((((((((((((((((((( Dateien erstellt von 2007-09-21 bis 2007-10-21 ))))))))))))))))))))))))))))))
.

2007-10-21 09:59 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-20 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\addy\AVM_Driver
2007-10-20 20:30 <DIR> d-------- C:\Programme\Trend Micro
2007-10-20 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-20 19:40 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MSN6
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2007-10-20 19:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-20 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\addy\Anwendungsdaten\Grisoft
2007-10-20 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-20 19:23 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 18:39 <DIR> d-------- C:\VundoFix Backups
2007-10-20 18:33 <DIR> d--h----- C:\Programme\BHO-X
2007-10-20 18:33 145,929 --a------ C:\WINDOWS\system32\sysdl132.exe
2007-10-20 09:38 494,626 ---hs---- C:\WINDOWS\system32\jlkkj.bak2
2007-10-19 21:29 6,505 ---hs---- C:\WINDOWS\system32\jlkkj.bak1
2007-10-18 14:26 <DIR> d--h----- C:\Programme\ObjectX
2007-10-18 14:26 33,792 --------- C:\WINDOWS\system32\yayyyvv.dll
2007-10-18 14:20 <DIR> d-------- C:\Programme\Sega
2007-10-15 21:00 <DIR> d-------- C:\Programme\Atari
2007-10-15 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Games
2007-10-14 14:53 <DIR> d-------- C:\Programme\LEGO Media
2007-10-14 14:47 28,160 --a------ C:\WINDOWS\Unregfps.exe
2007-10-09 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2007-10-09 15:03 163,840 --a------ C:\WINDOWS\LgxSetup.exe
2007-10-09 15:00 <DIR> d-------- C:\Programme\Lernwerkstatt Sek I
2007-09-21 20:28 <DIR> d-------- C:\Programme\Gta San Andreas Orginal Start Datei; jetzt no CD Crack

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-18 12:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-15 18:33 --------- d-----w C:\Programme\Firaxis Games
2007-10-15 17:24 --------- d-----w C:\Programme\EA SPORTS
2007-10-14 11:35 --------- d-----w C:\Programme\PokerStars.NET
2007-10-07 10:45 --------- d-----w C:\Programme\Steam
2007-10-01 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-22 16:26 --------- d-----w C:\Programme\Rockstar Games
2007-09-21 18:27 --------- d-----w C:\Programme\Musik
2007-08-28 08:43 --------- d-----w C:\Programme\Bearshare MP3
2007-08-24 09:30 --------- d-----w C:\Programme\Pivot Stickfigure Animator
2007-08-23 19:33 --------- d-----w C:\Programme\ICQ6
2007-08-23 18:13 84,128 ----a-w C:\Dokumente und Einstellungen\addy\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-21 17:54 --------- d-----w C:\Dokumente und Einstellungen\addy\Anwendungsdaten\Leadertech
2007-08-21 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-08-21 16:27 --------- d-----w C:\Programme\BearShare
2007-08-21 09:51 --------- d-----w C:\Programme\BearShare Applications
2006-06-17 09:08 1,427 ----a-w C:\Programme\Google Earth.lnk
2006-06-17 09:07 13,676,808 ----a-w C:\Programme\GoogleEarthWin4.exe
2005-07-13 15:48 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
2005-04-18 15:28 773 ----a-w C:\Dokumente und Einstellungen\ertTemp\layout.bin
2005-04-18 15:28 73,728 ----a-w C:\Dokumente und Einstellungen\ertTemp\Setup.exe
2005-04-18 15:28 450 ----a-w C:\Dokumente und Einstellungen\ertTemp\os.dat
2005-04-18 15:28 34,816 ----a-w C:\Dokumente und Einstellungen\ertTemp\_Setup.dll
2005-04-18 15:28 27,648 ----a-w C:\Dokumente und Einstellungen\ertTemp\_ISDel.exe
2005-04-18 15:28 23,541 ----a-w C:\Dokumente und Einstellungen\ertTemp\lang.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{317833AD-3A96-11DC-8314-0911200C9A66}]
C:\Programme\ObjectX\ie-improver.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6DB3F881-19A2-4085-ABD0-DBD56E71F4F5}]
2007-10-18 14:26 33792 --------- C:\WINDOWS\system32\yayyyvv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A17835AD-3A92-11DA-8324-0911200C9AA6}]
2007-10-20 18:33 95232 --a------ C:\Programme\BHO-X\ie-improver.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C6287A86-5787-4224-8DC2-5DBF5F176638}]
C:\WINDOWS\System32\jkklj.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 18:40]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-19 17:29]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 11:48 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 14:43 C:\WINDOWS\Dit.exe]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 16:55]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-19 18:14]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:39]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-07-12 13:19]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-08 19:02]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6DB3F881-19A2-4085-ABD0-DBD56E71F4F5}"= C:\WINDOWS\system32\yayyyvv.dll [2007-10-18 14:26 33792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyyvv]
yayyyvv.dll 2007-10-18 14:26 33792 C:\WINDOWS\system32\yayyyvv.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 A4SII300;A4SII300;C:\WINDOWS\System32\drivers\A4SII300.SYS
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\System32\DRIVERS\avmunet.sys
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\System32\DRIVERS\Cap7134.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\System32\DRIVERS\ctxs51.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\System32\DRIVERS\PhTVTune.sys
S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS
S3 sony_ssm.sys;sony_ssm.sys;\??\C:\DOKUME~1\Walter\LOKALE~1\Temp\sony_ssm.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 10:08:50
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-21 10:09:55 - machine was rebooted
.
--- E O F ---
Seitenanfang Seitenende
21.10.2007, 10:30
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: BHO-X - {317833AD-3A96-11DC-8314-0911200C9A66} - C:\Programme\ObjectX\ie-improver.dll (file missing)
O2 - BHO: (no name) - {6DB3F881-19A2-4085-ABD0-DBD56E71F4F5} - C:\WINDOWS\system32\yayyyvv.dll
O2 - BHO: BHO_X - {A17835AD-3A92-11DA-8324-0911200C9AA6} - C:\Programme\BHO-X\ie-improver.dll
O2 - BHO: (no name) - {C6287A86-5787-4224-8DC2-5DBF5F176638} - C:\WINDOWS\System32\jkklj.dll (file missing)
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\vhlwhzxa.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing
O9 - Extra button:{CCB1B892-287D-49A8-9F7F-C012D65F85E9} (file missing) (HKCU)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) –
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) –
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control)
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} –
O20 - Winlogon Notify: yayyyvv - C:\WINDOWS\SYSTEM32\yayyyvv.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\sysdl132.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\yayyyvv.dll
C:\WINDOWS\System32\vhlwhzxa.exe

Folder::
C:\VundoFix Backups
C:\Programme\BHO-X


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Und ein log von Hijack This

Und Punkt 4. unter http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 11:37
...neu hier

Themenstarter

Beiträge: 5
#5 Also hier ist das log von ComboFix. Die anderen kommen gleich.

ComboFix 07-10-20.6 - addy 2007-10-21 11:29:50.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.297 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\addy\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\addy\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\sysdl132.exe
C:\WINDOWS\System32\vhlwhzxa.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\yayyyvv.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\BHO-X
C:\Programme\BHO-X\bho.dat
C:\Programme\BHO-X\er.dat
C:\Programme\BHO-X\uninstall.exe
C:\VundoFix Backups
C:\VundoFix Backups\gbetmcjf.ini.bad
C:\WINDOWS\system32\jlkkj.bak1
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\sysdl132.exe
C:\WINDOWS\system32\yayyyvv.dll
C:\WINDOWS\system32\yayyyvv.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-21 bis 2007-10-21 ))))))))))))))))))))))))))))))
.

2007-10-21 09:59 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-20 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\addy\AVM_Driver
2007-10-20 20:30 <DIR> d-------- C:\Programme\Trend Micro
2007-10-20 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-20 19:40 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MSN6
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2007-10-20 19:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-20 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\addy\Anwendungsdaten\Grisoft
2007-10-20 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-20 19:23 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-18 14:26 <DIR> d--h----- C:\Programme\ObjectX
2007-10-18 14:20 <DIR> d-------- C:\Programme\Sega
2007-10-15 21:00 <DIR> d-------- C:\Programme\Atari
2007-10-15 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Games
2007-10-14 14:53 <DIR> d-------- C:\Programme\LEGO Media
2007-10-14 14:47 28,160 --a------ C:\WINDOWS\Unregfps.exe
2007-10-09 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2007-10-09 15:03 163,840 --a------ C:\WINDOWS\LgxSetup.exe
2007-10-09 15:00 <DIR> d-------- C:\Programme\Lernwerkstatt Sek I
2007-09-21 20:28 <DIR> d-------- C:\Programme\Gta San Andreas Orginal Start Datei; jetzt no CD Crack

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 08:11 --------- d-----w C:\Programme\ICQToolbar
2007-10-18 12:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-15 18:33 --------- d-----w C:\Programme\Firaxis Games
2007-10-15 17:24 --------- d-----w C:\Programme\EA SPORTS
2007-10-14 11:35 --------- d-----w C:\Programme\PokerStars.NET
2007-10-07 10:45 --------- d-----w C:\Programme\Steam
2007-10-01 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-22 16:26 --------- d-----w C:\Programme\Rockstar Games
2007-09-21 18:27 --------- d-----w C:\Programme\Musik
2007-08-28 08:43 --------- d-----w C:\Programme\Bearshare MP3
2007-08-24 09:30 --------- d-----w C:\Programme\Pivot Stickfigure Animator
2007-08-23 19:33 --------- d-----w C:\Programme\ICQ6
2007-08-23 18:13 84,128 ----a-w C:\Dokumente und Einstellungen\addy\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-21 17:54 --------- d-----w C:\Dokumente und Einstellungen\addy\Anwendungsdaten\Leadertech
2007-08-21 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-08-21 16:27 --------- d-----w C:\Programme\BearShare
2007-08-21 09:51 --------- d-----w C:\Programme\BearShare Applications
2006-06-17 09:08 1,427 ----a-w C:\Programme\Google Earth.lnk
2006-06-17 09:07 13,676,808 ----a-w C:\Programme\GoogleEarthWin4.exe
2005-07-13 15:48 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
2005-04-18 15:28 773 ----a-w C:\Dokumente und Einstellungen\ertTemp\layout.bin
2005-04-18 15:28 73,728 ----a-w C:\Dokumente und Einstellungen\ertTemp\Setup.exe
2005-04-18 15:28 450 ----a-w C:\Dokumente und Einstellungen\ertTemp\os.dat
2005-04-18 15:28 34,816 ----a-w C:\Dokumente und Einstellungen\ertTemp\_Setup.dll
2005-04-18 15:28 27,648 ----a-w C:\Dokumente und Einstellungen\ertTemp\_ISDel.exe
2005-04-18 15:28 23,541 ----a-w C:\Dokumente und Einstellungen\ertTemp\lang.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 18:40]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-19 17:29]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 11:48 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 14:43 C:\WINDOWS\Dit.exe]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 16:55]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-19 18:14]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:39]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-07-12 13:19]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-08 19:02]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
@=

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyyvv]
yayyyvv.dll


.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 11:34:14
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-21 11:36:03 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-21 10:09
.
--- E O F ---



Hier das von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:23, on 21.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\TRENDM~1\PRFUNG~1.COM\PRUEFUNG.COM

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sportbild.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://icqintl.oberon-media.com/online/online2/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: yayyyvv - yayyyvv.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7067 bytes


Jetzt kommt Punkt 4:


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS\system32

20.10.2007 16:50 496.245 jlkkj.ini
15.10.2007 20:05 2.206 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
21.08.2007 19:40 309.992 FNTCACHE.DAT
15.08.2007 20:23 396.120 perfh009.dat
15.08.2007 20:23 60.784 perfc009.dat
15.08.2007 20:23 410.198 perfh007.dat
15.08.2007 20:23 73.384 perfc007.dat
15.08.2007 20:23 947.270 PerfStringBackup.INI


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\DOKUME~1\addy\LOKALE~1\Temp

21.10.2007 11:43 104.064 datfind.txt
1 Datei(en) 104.064 Bytes
0 Verzeichnis(se), 2.791.186.432 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 287D-6AB8

Verzeichnis von C:\WINDOWS

21.10.2007 11:34 86.364 setupapi.log
21.10.2007 11:33 0 0.log
21.10.2007 11:33 4.796 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
21.10.2007 11:33 157 wiadebug.log
21.10.2007 11:33 50 wiaservc.log
21.10.2007 11:33 2.048 bootstat.dat
21.10.2007 11:32 32.560 SchedLgU.Txt
20.10.2007 20:21 148.148 ntbtlog.txt
20.10.2007 06:03 136.192 catchme.exe
18.10.2007 14:46 550.784 Directx.log
15.10.2007 20:05 3.201 wmsetup.log
09.10.2007 15:03 163.840 LgxSetup.exe
03.09.2007 18:39 694 eReg.dat
26.08.2007 21:08 306 QTW.INI


Das wars hoffe sie können damit etwas anfangen.^


PS: Die Virenmeldung von Antivir kommt nicht mehr, wenn ich etwas öffne.
Dieser Beitrag wurde am 21.10.2007 um 12:04 Uhr von addy5770 editiert.
Seitenanfang Seitenende
21.10.2007, 12:05
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O20 - Winlogon Notify: yayyyvv - yayyyvv.dll (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Mache das mit cfscript.txt nochmal

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\jlkkj.ini

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyyvv]


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 12:49
...neu hier

Themenstarter

Beiträge: 5
#7 Hier ist das log von ComboFix;

ComboFix 07-10-20.6 - addy 2007-10-21 12:35:09.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.330 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\addy\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\addy\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\system32\jlkkj.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\jlkkj.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-21 bis 2007-10-21 ))))))))))))))))))))))))))))))
.

2007-10-21 09:59 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-20 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\addy\AVM_Driver
2007-10-20 20:30 <DIR> d-------- C:\Programme\Trend Micro
2007-10-20 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-20 19:40 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-20 19:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-10-20 19:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MSN6
2007-10-20 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2007-10-20 19:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-20 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\addy\Anwendungsdaten\Grisoft
2007-10-20 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-20 19:23 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-18 14:26 <DIR> d--h----- C:\Programme\ObjectX
2007-10-18 14:20 <DIR> d-------- C:\Programme\Sega
2007-10-15 21:00 <DIR> d-------- C:\Programme\Atari
2007-10-15 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Games
2007-10-14 14:53 <DIR> d-------- C:\Programme\LEGO Media
2007-10-14 14:47 28,160 --a------ C:\WINDOWS\Unregfps.exe
2007-10-09 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2007-10-09 15:03 163,840 --a------ C:\WINDOWS\LgxSetup.exe
2007-10-09 15:00 <DIR> d-------- C:\Programme\Lernwerkstatt Sek I
2007-09-21 20:28 <DIR> d-------- C:\Programme\Gta San Andreas Orginal Start Datei; jetzt no CD Crack

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 09:36 --------- d-----w C:\Programme\ICQToolbar
2007-10-18 12:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-15 18:33 --------- d-----w C:\Programme\Firaxis Games
2007-10-15 17:24 --------- d-----w C:\Programme\EA SPORTS
2007-10-14 11:35 --------- d-----w C:\Programme\PokerStars.NET
2007-10-07 10:45 --------- d-----w C:\Programme\Steam
2007-10-01 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-22 16:26 --------- d-----w C:\Programme\Rockstar Games
2007-09-21 18:27 --------- d-----w C:\Programme\Musik
2007-08-28 08:43 --------- d-----w C:\Programme\Bearshare MP3
2007-08-24 09:30 --------- d-----w C:\Programme\Pivot Stickfigure Animator
2007-08-23 19:33 --------- d-----w C:\Programme\ICQ6
2007-08-23 18:13 84,128 ----a-w C:\Dokumente und Einstellungen\addy\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-21 17:54 --------- d-----w C:\Dokumente und Einstellungen\addy\Anwendungsdaten\Leadertech
2007-08-21 17:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-08-21 16:27 --------- d-----w C:\Programme\BearShare
2007-08-21 09:51 --------- d-----w C:\Programme\BearShare Applications
2006-06-17 09:08 1,427 ----a-w C:\Programme\Google Earth.lnk
2006-06-17 09:07 13,676,808 ----a-w C:\Programme\GoogleEarthWin4.exe
2005-07-13 15:48 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
2005-04-18 15:28 773 ----a-w C:\Dokumente und Einstellungen\ertTemp\layout.bin
2005-04-18 15:28 73,728 ----a-w C:\Dokumente und Einstellungen\ertTemp\Setup.exe
2005-04-18 15:28 450 ----a-w C:\Dokumente und Einstellungen\ertTemp\os.dat
2005-04-18 15:28 34,816 ----a-w C:\Dokumente und Einstellungen\ertTemp\_Setup.dll
2005-04-18 15:28 27,648 ----a-w C:\Dokumente und Einstellungen\ertTemp\_ISDel.exe
2005-04-18 15:28 23,541 ----a-w C:\Dokumente und Einstellungen\ertTemp\lang.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 18:40]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-19 17:29]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 11:48 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 14:43 C:\WINDOWS\Dit.exe]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 16:55]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-19 18:14]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:39]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-07-12 13:19]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-08 19:02]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 17:03]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyyvv]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 A4SII300;A4SII300;C:\WINDOWS\System32\drivers\A4SII300.SYS
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\System32\DRIVERS\avmunet.sys
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\System32\DRIVERS\Cap7134.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\System32\DRIVERS\ctxs51.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\System32\DRIVERS\PhTVTune.sys
S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS
S3 sony_ssm.sys;sony_ssm.sys;\??\C:\DOKUME~1\Walter\LOKALE~1\Temp\sony_ssm.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 12:37:34
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-21 12:38:17
C:\ComboFix2.txt ... 2007-10-21 11:36
C:\ComboFix3.txt ... 2007-10-21 10:09
.
--- E O F ---
Seitenanfang Seitenende
21.10.2007, 12:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Entferne auf C:\ Qoobox-->Papierkorb leeren

Entferne CombiFix
Start > Ausführen>Kopiere rein ComboFix /u OK

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe

Dein Windows benötigt dringen ein Update nach SP2

Es gibt eine Sicherheitslücke in alle versionen von realplayer!!
http://www.symantec.com/enterprise/security_response/weblog/2007/10/realplayer_exploit_on_the_loos.html
Komischer weisse ist die Seite von Real nicht erreichbar
http://service.real.com/realplayer/security/191007_player/en/
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 14:08
...neu hier

Themenstarter

Beiträge: 5
#9 Vielen Dank für deine super Hilfe.
Ohne dich hät ich diesen blöden Trojaner wohl nie losbekommen. Also noch mal ein rießiges Dankeschön.
Seitenanfang Seitenende
21.10.2007, 14:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Gern geshehen
Gruss aus Holland
Arnold
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: