Home » Viren, Trojaner & Malware Forum » TR/Vundo.Gen eingefangen » Themenansicht

TR/Vundo.Gen eingefangen

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.11.2007, 18:19
jutta2
...neu hier

Beiträge: 6
#1 Hallo,

ich habe mir heute morgen TR/Vundo.Gen eingegangen obwohl ich
antivir auf dem PC habe. Jetzt bekomme ich es nicht wieder weg, habe schon alles mögliche probiert. Das Symantec tool funktioniert auch nicht.Kann mir jemand helfen?

Vielen Dank und Grüsse jutta2


Logfile of HijackThis v1.99.1
Scan saved at 18:50, on 2007-11-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\media\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.223.98:80
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: http://www.7search.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - cmd.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Dieser Beitrag wurde am 17.11.2007 um 18:51 Uhr von jutta2 editiert.
Seitenanfang Seitenende
17.11.2007, 19:30
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
17.11.2007, 20:09
jutta2
...neu hier

Themenstarter

Beiträge: 6
#3 Das ist von datfind.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS\system32

11/17/2007 07:56 PM 1,158 wpa.dbl
11/17/2007 03:44 PM 98 jkbvrcvp.txt
11/17/2007 09:00 AM 38,912 vtuvvsr.dll
11/17/2007 09:00 AM 38,912 fccaawv.dll
11/02/2007 08:12 AM 18,238,072 MRT.exe
10/29/2007 04:35 PM 123,904 xpsp3res.dll
10/28/2007 07:17 AM 138,848 FNTCACHE.DAT
10/25/2007 05:55 PM 8,495,616 shell32.dll
08/30/2007 09:07 PM 249,852 TZLog.log
08/22/2007 03:13 PM 664,576 wininet.dll
08/22/2007 03:13 PM 474,624 shlwapi.dll
08/22/2007 03:13 PM 1,494,528 shdocvw.dll
08/22/2007 03:13 PM 617,472 urlmon.dll
08/22/2007 03:13 PM 532,480 mstime.dll
08/22/2007 03:13 PM 39,424 pngfilt.dll
08/22/2007 03:13 PM 3,079,168 mshtml.dll
08/22/2007 03:13 PM 16,384 jsproxy.dll
08/22/2007 03:13 PM 146,432 msrating.dll
08/22/2007 03:13 PM 55,808 extmgr.dll
08/22/2007 03:13 PM 449,024 mshtmled.dll
08/22/2007 03:13 PM 205,312 dxtrans.dll
08/22/2007 03:13 PM 251,392 iepeers.dll
08/22/2007 03:13 PM 96,768 inseng.dll
08/22/2007 03:13 PM 1,022,976 browseui.dll
08/22/2007 03:13 PM 152,064 cdfview.dll
08/22/2007 03:13 PM 1,056,256 danim.dll
08/22/2007 03:13 PM 357,888 dxtmsft.dll
08/21/2007 08:16 AM 683,520 inetcomm.dll
08/19/2007 07:47 AM 16,832 amcompat.tlb
08/19/2007 07:47 AM 23,392 nscompat.tlb


das ist von combofix:

ComboFix 07-11-08.1 - media 2007-11-17 19:49:58.7 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.191 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\media\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ututv.ini
C:\WINDOWS\system32\ututv.ini2
C:\WINDOWS\system32\vtutu.dll
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 17 - 05_46_01 PM_031.log
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Log\2007 Nov 17 - 05_46_03 PM_812.log
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\rs.dat
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\CustomScan.stg
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\IgnoreList.stg
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\ScanInfo.stg
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\ScanResults.stg
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\SelectedFolders.stg
C:\Dokumente und Einstellungen\media\Anwendungsdaten\AntiSpywareBot\Settings\Settings.stg
C:\Programme\AntiSpywareBot
C:\Programme\AntiSpywareBot\AntiSpywareBot.exe
C:\Programme\Windows Media Player\sadux.dll
C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\system32\ddabb.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job
C:\WINDOWS\tk58.exe
C:\WINDOWS\TTC-4444.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-17 bis 2007-11-17 ))))))))))))))))))))))))))))))
.

2007-11-17 12:19 <DIR> d-------- C:\VundoFix Backups
2007-11-17 11:54 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 09:00 <DIR> d-------- C:\WINDOWS\system32\rMa01yy
2007-11-17 09:00 38,912 --a------ C:\WINDOWS\system32\vtuvvsr.dll
2007-11-17 09:00 38,912 --a------ C:\WINDOWS\system32\fccaawv.dll
2007-11-16 13:11 <DIR> d-------- C:\Programme\OO Software
2007-11-05 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2007-11-05 15:22 <DIR> d-------- C:\Programme\Windows Live
2007-11-05 15:22 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-11-02 15:05 <DIR> d-------- C:\Programme\SysTracer
2007-10-20 07:49 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-08-22 14:13 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll
2007-08-22 14:13 664,576 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-22 14:13 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-22 14:13 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-22 14:13 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-22 14:13 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-08-22 14:13 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-22 14:13 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-08-22 14:13 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-08-22 14:13 3,079,168 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-22 14:13 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-08-22 14:13 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-22 14:13 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-22 14:13 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-08-22 14:13 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-22 14:13 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-22 14:13 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll
2007-08-22 14:13 1,022,976 ------w C:\WINDOWS\system32\dllcache\browseui.dll
2007-08-21 11:30 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-21 07:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 07:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll
.

((((((((((((((((((((((((((((( snapshot@2007-11-17_11.58.59.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 09:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0140DF95-9128-4053-AE72-F43F0CFCA062}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C80EAD3-74CD-4700-83A4-AA878CD1C03C}]
2007-11-17 09:00 38912 --a------ C:\WINDOWS\system32\fccaawv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8EEFD2F-0360-424F-B0FB-3FB7B21620B7}]
2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet4444.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CADD239F-14B0-4473-8970-D2AC697A18A3}]
2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet83122.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 18:15]
"Cmaudio"="cmicnfg.cpl" []
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 14:12 C:\WINDOWS\soundman.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:58]
"LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-11 08:13]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2006-08-31 02:01]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Programme\Windows Media Player\wuomym.html
FriendlyName=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2C80EAD3-74CD-4700-83A4-AA878CD1C03C}"= C:\WINDOWS\system32\fccaawv.dll [2007-11-17 09:00 38912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaawv]
fccaawv.dll 2007-11-17 09:00 38912 C:\WINDOWS\system32\fccaawv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtutu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^media^Startmenü^Programme^Autostart^ADILOOK Deutsche Version auf Laufwerk C.LNK]
path=C:\Dokumente und Einstellungen\media\Startmenü\Programme\Autostart\ADILOOK Deutsche Version auf Laufwerk C.LNK
backup=C:\WINDOWS\pss\ADILOOK Deutsche Version auf Laufwerk C.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
"C:\Programme\Lexmark 7300 Series\ezprint.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcimon.exe]
"C:\Programme\Lexmark 7300 Series\lxcimon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
S0 bthvlgkr;bthvlgkr;C:\WINDOWS\system32\drivers\mympnlec.sys
S0 emrysxns;emrysxns;C:\WINDOWS\system32\drivers\vdueacrg.sys
S2 Ca533av;DV Series Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys
S3 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe -service
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 USBCamera;DV Series Digital Camera;C:\WINDOWS\system32\Drivers\Bulk533.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-11-17 18:49:02 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-17 19:56:27
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-17 19:56:54 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-17 17:13
C:\ComboFix3.txt ... 2007-11-17 17:07
.
--- E O F ---



Antivir:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 17. November 2007 14:06

Es wird nach 932510 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: OEM-VBN3UJW2LGT

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 14.09.2007 11:15:26
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.09.2007 11:15:26
LUKE.DLL : 7.0.5.3 147496 Bytes 14.09.2007 11:15:28
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.09.2007 11:15:28
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 09:40:22
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 12:37:40
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11.11.2007 15:05:22
ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16.11.2007 08:23:42
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 11.11.2007 04:18:28
AVWINLL.DLL : 1.0.0.7 14376 Bytes 03.05.2007 13:41:22
AVPREF.DLL : 7.0.2.2 25640 Bytes 14.09.2007 11:15:26
AVREP.DLL : 7.0.0.1 155688 Bytes 03.05.2007 13:41:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 07.08.2007 07:41:42
AVREG.DLL : 7.0.1.6 30760 Bytes 14.09.2007 11:15:26
AVARKT.DLL : 1.0.0.20 278568 Bytes 14.09.2007 11:15:26
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 14.09.2007 11:15:26
NETNT.DLL : 7.0.0.0 7720 Bytes 03.05.2007 13:41:24
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 14.09.2007 11:15:22
RCTEXT.DLL : 7.0.62.0 90152 Bytes 14.09.2007 11:15:22
SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.09.2007 11:15:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Samstag, 17. November 2007 14:06

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'privoxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vidalia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcicoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '27' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 17. November 2007 14:22
Benötigte Zeit: 16:02 min

Der Suchlauf wurde abgebrochen!

172 Verzeichnisse wurden überprüft
39137 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
39136 Dateien ohne Befall
5464 Archive wurden durchsucht
1 Warnungen
0 Hinweise


Das ist als sich Antivir gemeldet hat, aber davon gibts viele, der Name ändert sich immer:
z.B.:

In der Datei 'C:\WINDOWS\system32\vtutu.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden.
Ausgeführte Aktion: Zugriff verweigern

das wurde auch mal gefunden:
In der Datei 'C:\WINDOWS\system32\f1\bemwdll3.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [TR/Crypt.ULPM.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

oder das:
In der Datei 'C:\WINDOWS\system32\pmnnn.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [TR/Vundo.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben


Ich hab von der Sache nicht viel Ahnung, bitte sagt wenn ihr sonst noch was braucht.
Der andere Log ist im ersten Posting

viele Grüsse jutta2
Seitenanfang Seitenende
17.11.2007, 20:54
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Unter Punkt 3.stet doch deutlich "Entferne HijackThis version 1.99.1 von dein Rechner und download 2.0.2"

Zitat

Der andere Log ist im ersten Posting
Entferne auf C:\ Qoobox-->Papierkorb leeren

cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\rMa01yy
C:\WINDOWS\system32\vtuvvsr.dll
C:\WINDOWS\system32\fccaawv.dll
C:\WINDOWS\system32\jkbvrcvp.txt

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2C80EAD3-74CD-4700-83A4-AA878CD1C03C}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaawv]

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Und ein log von Hijack This 2.0.2
__________
MfG Argus
Seitenanfang Seitenende
17.11.2007, 21:44
jutta2
...neu hier

Themenstarter

Beiträge: 6
#5 okay, das ist combofix:

ComboFix 07-11-08.1 - media 2007-11-17 21:29:49.9 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.217 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\media\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\media\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\fccaawv.dll
C:\WINDOWS\system32\jkbvrcvp.txt
C:\WINDOWS\system32\rMa01yy
C:\WINDOWS\system32\vtuvvsr.dll
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\fccaawv.dll
.
---- Previous Run -------
.
C:\WINDOWS\system32\jkbvrcvp.txt
C:\WINDOWS\system32\vtuvvsr.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-17 bis 2007-11-17 ))))))))))))))))))))))))))))))
.

2007-11-17 11:54 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 09:00 <DIR> d-------- C:\WINDOWS\system32\rMa01yy
2007-11-16 13:11 <DIR> d-------- C:\Programme\OO Software
2007-11-05 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2007-11-05 15:22 <DIR> d-------- C:\Programme\Windows Live
2007-11-05 15:22 <DIR> d-------- C:\Programme\Messenger Plus! Live
2007-11-02 15:05 <DIR> d-------- C:\Programme\SysTracer
2007-10-20 07:49 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-08-22 14:13 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll
2007-08-22 14:13 664,576 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-22 14:13 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-22 14:13 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-22 14:13 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-22 14:13 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-08-22 14:13 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-22 14:13 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-08-22 14:13 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-08-22 14:13 3,079,168 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-22 14:13 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-08-22 14:13 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-22 14:13 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-22 14:13 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-08-22 14:13 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-22 14:13 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-08-22 14:13 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll
2007-08-22 14:13 1,022,976 ------w C:\WINDOWS\system32\dllcache\browseui.dll
2007-08-21 11:30 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-21 07:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 07:16 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0140DF95-9128-4053-AE72-F43F0CFCA062}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C8EEFD2F-0360-424F-B0FB-3FB7B21620B7}]
2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet4444.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CADD239F-14B0-4473-8970-D2AC697A18A3}]
2007-08-02 14:44 282624 --a------ C:\Programme\Internet Explorer\porefomet83122.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 18:15]
"Cmaudio"="cmicnfg.cpl" []
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 14:12 C:\WINDOWS\soundman.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 09:58]
"LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-11 08:13]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"Vidalia"="C:\Programme\Vidalia\vidalia.exe" [2006-08-31 02:01]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Programme\Windows Media Player\wuomym.html
FriendlyName=

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaawv]
fccaawv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^media^Startmenü^Programme^Autostart^ADILOOK Deutsche Version auf Laufwerk C.LNK]
path=C:\Dokumente und Einstellungen\media\Startmenü\Programme\Autostart\ADILOOK Deutsche Version auf Laufwerk C.LNK
backup=C:\WINDOWS\pss\ADILOOK Deutsche Version auf Laufwerk C.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
"C:\Programme\Lexmark 7300 Series\ezprint.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcimon.exe]
"C:\Programme\Lexmark 7300 Series\lxcimon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
S0 bthvlgkr;bthvlgkr;C:\WINDOWS\system32\drivers\mympnlec.sys
S0 emrysxns;emrysxns;C:\WINDOWS\system32\drivers\vdueacrg.sys
S2 Ca533av;DV Series Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys
S3 lxci_device;lxci_device;C:\WINDOWS\system32\lxcicoms.exe -service
S3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys
S3 USBCamera;DV Series Digital Camera;C:\WINDOWS\system32\Drivers\Bulk533.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-11-17 20:34:16 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-17 21:41:12 - machine was rebooted
C:\ComboFix3.txt ... 2007-11-17 17:13
C:\ComboFix2.txt ... 2007-11-17 19:56
.
--- E O F ---





das ist highjack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:44:34 PM, on 11/17/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\media\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.223.98:80
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {0140DF95-9128-4053-AE72-F43F0CFCA062} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C8EEFD2F-0360-424F-B0FB-3FB7B21620B7} - C:\Programme\Internet Explorer\porefomet4444.dll
O2 - BHO: (no name) - {CADD239F-14B0-4473-8970-D2AC697A18A3} - C:\Programme\Internet Explorer\porefomet83122.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O15 - Trusted Zone: http://www.7search.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fccaawv - fccaawv.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O24 - Desktop Component 0: (no name) - C:\Programme\Windows Media Player\wuomym.html

--
End of file - 5785 bytes




wenn was falsch ist oder fehlt sag bitte bescheid

grüsse jutta2
Seitenanfang Seitenende
17.11.2007, 22:24
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Entferne auf C:\ Qoobox-->Papierkorb leeren

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\Programme\Internet Explorer\porefomet4444.dll
C:\Programme\Internet Explorer\porefomet83122.dll

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 07:27
jutta2
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo,
danke für die Hilfe, das ist die Auswertung von Virustotal:

File porefomet4444.dll received on 11.18.2007 07:19:17 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Result: 22/32 (68.75%)
Loading server information...
Your file is queued in position: 1.
Estimated start time is between 36 and 52 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 ADSPY/TTC.A.5
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.17 Win32:Adloader-KH
AVG 7.5.0.503 2007.11.17 Adware Generic2.JEG
BitDefender 7.2 2007.11.18 Adware.TTC
CAT-QuickHeal 9.00 2007.11.17 AdWare.TTC.a (Not a Virus)
ClamAV 0.91.2 2007.11.18 -
DrWeb 4.44.0.09170 2007.11.17 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5304 2007.11.17 Win32/Zquest.G
Ewido 4.0 2007.11.17 -
FileAdvisor 1 2007.11.18 Low threat detected
Fortinet 3.11.0.0 2007.10.19 Adware/TTC
F-Prot 4.4.2.54 2007.11.16 W32/Adware.WWV
F-Secure 6.70.13030.0 2007.11.17 -
Ikarus T3.1.1.12 2007.11.18 not-a-virus:AdWare.Win32.TTC.a
Kaspersky 7.0.0.125 2007.11.18 not-a-virus:AdWare.Win32.TTC.a
McAfee 5165 2007.11.16 Downloader-BEC
Microsoft 1.3007 2007.11.18 Program:Win32/TTC
NOD32v2 2665 2007.11.17 -
Norman 5.80.02 2007.11.16 W32/TTC.DX
Panda 9.0.0.4 2007.11.17 Adware/TTC
Prevx1 V2 2007.11.18 -
Rising 20.18.52.00 2007.11.18 AdWare.Win32.TTC.d
Sophos 4.23.0 2007.11.18 Troj/TTC-Gen
Sunbelt 2.2.907.0 2007.11.17 Adware.TTC
Symantec 10 2007.11.18 Downloader
TheHacker 6.2.9.133 2007.11.17 Adware/TTC.a
VBA32 3.12.2.5 2007.11.16 AdWare.Win32.TTC.a
VirusBuster 4.3.26:9 2007.11.17 -
Webwasher-Gateway 6.0.1 2007.11.16 Ad-Spyware.TTC.A.5
Additional information
File size: 282624 bytes
MD5: 0b36bd26e49f50029b240ef4c5f2f729
SHA1: 217b7851f3acac62eec1aa22fba5e282460a4d88
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=0b36bd26e49f50029b240ef4c5f2f729


File porefomet83122.dll received on 11.18.2007 07:28:44 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED


Result: 22/32 (68.75%)
Loading server information...
Your file is queued in position: 2.
Estimated start time is between 40 and 57 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:


Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 ADSPY/TTC.A.5
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.17 Win32:Adloader-KH
AVG 7.5.0.503 2007.11.17 Adware Generic2.JEG
BitDefender 7.2 2007.11.18 Adware.TTC
CAT-QuickHeal 9.00 2007.11.17 AdWare.TTC.a (Not a Virus)
ClamAV 0.91.2 2007.11.18 -
DrWeb 4.44.0.09170 2007.11.17 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5304 2007.11.17 Win32/Zquest.G
Ewido 4.0 2007.11.17 -
FileAdvisor 1 2007.11.18 Low threat detected
Fortinet 3.11.0.0 2007.10.19 Adware/TTC
F-Prot 4.4.2.54 2007.11.16 W32/Adware.WWV
F-Secure 6.70.13030.0 2007.11.17 -
Ikarus T3.1.1.12 2007.11.18 not-a-virus:AdWare.Win32.TTC.a
Kaspersky 7.0.0.125 2007.11.18 not-a-virus:AdWare.Win32.TTC.a
McAfee 5165 2007.11.16 Downloader-BEC
Microsoft 1.3007 2007.11.18 Program:Win32/TTC
NOD32v2 2665 2007.11.17 -
Norman 5.80.02 2007.11.16 W32/TTC.DX
Panda 9.0.0.4 2007.11.17 Adware/TTC
Prevx1 V2 2007.11.18 -
Rising 20.18.52.00 2007.11.18 AdWare.Win32.TTC.d
Sophos 4.23.0 2007.11.18 Troj/TTC-Gen
Sunbelt 2.2.907.0 2007.11.17 Adware.TTC
Symantec 10 2007.11.18 Downloader
TheHacker 6.2.9.133 2007.11.17 Adware/TTC.a
VBA32 3.12.2.5 2007.11.16 AdWare.Win32.TTC.a
VirusBuster 4.3.26:9 2007.11.17 -
Webwasher-Gateway 6.0.1 2007.11.16 Ad-Spyware.TTC.A.5
Additional information
File size: 282624 bytes
MD5: 0b36bd26e49f50029b240ef4c5f2f729
SHA1: 217b7851f3acac62eec1aa22fba5e282460a4d88
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=0b36bd26e49f50029b240ef4c5f2f729


Dr. Web:

File size: 276.0K

porefomet4444.dll contains an advertising software Adware.Ttc


File size: 276.0K

porefomet83122.dll contains an advertising software Adware.Ttc


Das ist Kaspersky:

Scanned file: porefomet4444.dll - Infected

porefomet4444.dll - infected by not-a-virus:AdWare.Win32.TTC.a


Statistics:
Known viruses: 461117 Updated: 18-11-2007
File size (Kb): 276 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0


Scanned file: porefomet83122.dll - Infected

porefomet83122.dll - infected by not-a-virus:AdWare.Win32.TTC.a


Statistics:
Known viruses: 461117 Updated: 18-11-2007
File size (Kb): 276 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0



Es scheint also in diesen Dateien zu sitzen, soll ich die löschen, Antivir scheint
es ja nicht zu merken?

Grüsse jutta2
Dieser Beitrag wurde am 18.11.2007 um 07:57 Uhr von jutta2 editiert.
Seitenanfang Seitenende
18.11.2007, 07:53
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {0140DF95-9128-4053-AE72-F43F0CFCA062} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {C8EEFD2F-0360-424F-B0FB-3FB7B21620B7} - C:\Programme\Internet Explorer\porefomet4444.dll
O2 - BHO: (no name) - {CADD239F-14B0-4473-8970-D2AC697A18A3} - C:\Programme\Internet Explorer\porefomet83122.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://www.7search.com
O20 - Winlogon Notify: fccaawv - fccaawv.dll (file missing)
O24 - Desktop Component 0: (no name) - C:\Programme\Windows Media Player\wuomym.html

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Antivir
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
Und scanne nochmal
Nach dem Scann die Heuristik auf "mittel" zurückdrehen
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 08:31
jutta2
...neu hier

Themenstarter

Beiträge: 6
#9 So, das habe ich alles gemacht.

das war nicht in der Liste: C:\Programme\Messenger\msmsgs.exe (file missing)


Das hat antivir gemeldet als ich Fix checked machte:

In der Datei 'C:\Programme\Windows Media Player\wuomym.html'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Exploit.HTML' [HEUR/Exploit.HTML] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben


Danach hat Antivir nichts gefunden:










AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 18. November 2007 08:04

Es wird nach 932510 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: OEM-VBN3UJW2LGT

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 14.09.2007 11:15:26
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.09.2007 11:15:26
LUKE.DLL : 7.0.5.3 147496 Bytes 14.09.2007 11:15:28
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.09.2007 11:15:28
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 09:40:22
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 12:37:40
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11.11.2007 15:05:22
ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16.11.2007 08:23:42
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 11.11.2007 04:18:28
AVWINLL.DLL : 1.0.0.7 14376 Bytes 03.05.2007 13:41:22
AVPREF.DLL : 7.0.2.2 25640 Bytes 14.09.2007 11:15:26
AVREP.DLL : 7.0.0.1 155688 Bytes 03.05.2007 13:41:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 07.08.2007 07:41:42
AVREG.DLL : 7.0.1.6 30760 Bytes 14.09.2007 11:15:26
AVARKT.DLL : 1.0.0.20 278568 Bytes 14.09.2007 11:15:26
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 14.09.2007 11:15:26
NETNT.DLL : 7.0.0.0 7720 Bytes 03.05.2007 13:41:24
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 14.09.2007 11:15:22
RCTEXT.DLL : 7.0.62.0 90152 Bytes 14.09.2007 11:15:22
SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.09.2007 11:15:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 18. November 2007 08:04

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD2
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD3
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015
Masterbootsektor HD4
[HINWEIS] Es wurde kein Virus gefunden!
[WARNUNG] Der Bootsektor konnte nicht gelesen werden!
[WARNUNG] Fehlercode: 0x0015

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 18. November 2007 08:26
Benötigte Zeit: 21:56 min

Der Suchlauf wurde vollständig durchgeführt.

4582 Verzeichnisse wurden überprüft
163752 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
163752 Dateien ohne Befall
6604 Archive wurden durchsucht
1 Warnungen
0 Hinweise


ob das Ding schon weg ist?
Seitenanfang Seitenende
18.11.2007, 08:45
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 ATF cleaner
Benutze nochmal ATF Cleaner http://board.protecus.de/t23188.htm

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Shönen Sonntag noch ;)
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 09:31
jutta2
...neu hier

Themenstarter

Beiträge: 6
#11 Okay, das habe ich alles gemacht, ich danke dir vielmals und wünsch dir auch noch einen schönen Sonntag ;)


Viele grüsse jutta2
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1