TR/Vundo.Gen und andere Trojaner!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.12.2007, 13:24
...neu hier
Beiträge: 4 |
||
|
||
06.12.2007, 13:38
Ehrenmitglied
Beiträge: 6028 |
#2
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren. Prüfe mal diese Datei(en) bei VirusTotal oder Jotti C:\WINDOWS\system32\448e2450 Stand alone DrWeb Stand alone Kaspersky RVAXO Download: RVAXO by Smeenk,zum Desktop Danach doppelklicken Öffne die Datei RVAXO und doppelklick “RVAXO.cmd” Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Dein Rechner wird neu gestartet,wenn nicht Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht __________ MfG Argus |
|
|
||
06.12.2007, 15:43
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo,
hab das gemacht und sowohl Dr.Web als auch Kasperky haben Clean angezeigt. VirusTotal wohl ebenfalls: Datei 448e2450 empfangen 2007.12.06 15:31:25 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Hier das Log von RVAXO: ----------------RVAXO.exe first run------------- Files found: C:\WINDOWS\system32\qqtwa.ini2 C:\WINDOWS\system32\actskn45.ocx Uninstallers Rogue scanners: Folders Found: C:\Programme\E404 Helper Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- Und ich hab jetzt unter C nen Ordner qoobox ? |
|
|
||
06.12.2007, 15:54
Ehrenmitglied
Beiträge: 6028 |
#4
Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {161C9A74-1B69-45C7-B985-988E147F9C36} - (no file) O2 - BHO: (no name) - {436BB1BA-2670-E517-F753-036968A4205F} - (no file) O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\mljgghe.dll O20 - Winlogon Notify: mljgghe - C:\WINDOWS\SYSTEM32\mljgghe.dll O20 - Winlogon Notify: urqqqqq - urqqqqq.dll (file missing) O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing) klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst cfscript.txt 1. Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. file:: C:\WINDOWS\system32\mljgghe.dll C:\WINDOWS\system32\qqtwa.ini Folder:: C:\VundoFix Backups C:\Programme\zuxmfojs C:\Programme\Vfmskoml C:\Programme\Ouymbtsq Registry:: [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{ABB68206-5154-47D3-ABC5-611C1658ABA0}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgghe] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqqqqq] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkq32] 2. Sleppe diese Datei in ComboFix.exe(sehe Bild) ComboFix wird jetzt starten und die Daten ausfuehren Nach neustart des Rechners,poste das log von ComboFix __________ MfG Argus |
|
|
||
06.12.2007, 16:15
...neu hier
Themenstarter Beiträge: 4 |
#5
Hm es scheint funktioniert zu haben, jedenfalls öffnet sich nicht mit jedem Editor und Prog ein Warnfenster mit ^^ Hier das Log:
ComboFix 07-12-05.2 - Sommerwind 2007-12-06 16:05:23.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1639 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Sommerwind\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Sommerwind\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE C:\WINDOWS\system32\mljgghe.dll C:\WINDOWS\system32\qqtwa.ini . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\Ouymbtsq C:\Programme\Vfmskoml C:\Programme\zuxmfojs C:\VundoFix Backups C:\VundoFix Backups\drvwakr.dll.bad C:\WINDOWS\system32\mljgghe.dll C:\WINDOWS\system32\qqtwa.ini . ((((((((((((((((((((((( Dateien erstellt von 2007-11-06 bis 2007-12-06 )))))))))))))))))))))))))))))) . 2007-12-06 00:21 . 2007-12-06 00:21 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2007-12-05 23:39 . 2007-12-06 13:07 <DIR> d-------- C:\Programme\Trend Micro 2007-12-05 23:14 . 2007-12-05 23:14 <DIR> d-------- C:\Programme\Yahoo! 2007-12-05 23:14 . 2007-12-05 23:14 <DIR> d-------- C:\Programme\CCleaner 2007-12-05 21:39 . 2007-12-05 21:39 15 --a------ C:\WINDOWS\system32\448e2450 2007-12-05 18:19 . 2007-12-05 18:19 <DIR> d-------- C:\Programme\Enigma Software Group 2007-12-05 17:55 . 2007-12-06 00:25 <DIR> d-------- C:\Program Files 2007-12-05 17:54 . 2007-12-05 17:55 1,154,709 --a------ C:\Install 2007-12-04 17:46 . 2007-12-04 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM 2007-12-04 14:41 . 2007-12-04 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Sommerwind\.DownloadManager 2007-11-30 22:11 . 2007-11-30 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\CyberLink 2007-11-30 22:11 . 2007-12-04 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink 2007-11-30 22:09 . 2007-11-30 22:10 <DIR> d-------- C:\Programme\CyberLink 2007-11-27 16:06 . 2007-11-27 16:06 <DIR> d-------- C:\Fraps 2007-11-27 16:06 . 2007-11-27 16:11 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-11-27 16:06 . 2007-11-27 16:06 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-11-27 15:54 . 2007-11-27 15:54 <DIR> d-------- C:\WmrPro 2007-11-27 15:54 . 2007-11-27 15:54 <DIR> d-------- C:\Programme\WmrPro 2007-11-27 15:33 . 2007-11-27 15:33 <DIR> d-------- C:\Programme\DVD Shrink 2007-11-27 15:33 . 2007-11-27 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2007-11-25 18:35 . 2007-11-25 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes 2007-11-25 18:34 . 2007-11-25 18:35 24 ---hs---- C:\WINDOWS\SCE7F6DB7.tmp 2007-11-24 21:29 . 2007-11-24 21:29 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2007-11-21 19:23 . 2007-11-21 19:23 81,920 --a------ C:\WINDOWS\system32\frapsvid.dll 2007-11-19 18:05 . 2007-11-19 18:05 <DIR> d-------- C:\Programme\GSpot 2007-11-19 17:42 . 2007-11-19 17:42 <DIR> d-------- C:\Programme\MKVtoolnix 2007-11-19 17:42 . 2007-11-19 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\Media Player Classic 2007-11-18 22:02 . 2007-11-18 22:02 <DIR> d-------- C:\Programme\Gabest 2007-11-18 21:51 . 2007-11-18 21:51 <DIR> d-------- C:\Programme\LD-Anime 2007-11-18 21:50 . 2007-11-18 21:57 71,026,996 --a------ C:\[V-A]_Gravitation_TV_-_10_[32C79C40].mkv.AVI 2007-11-18 21:46 . 2007-11-18 21:46 <DIR> d-------- C:\Programme\AviSynth 2.5 2007-11-18 21:46 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll 2007-11-18 21:46 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe 2007-11-18 21:46 . 2007-05-14 15:24 394,240 --a------ C:\WINDOWS\system32\Smab.dll 2007-11-18 21:46 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll 2007-11-18 21:46 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe 2007-11-18 21:46 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe 2007-11-18 21:46 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll 2007-11-18 21:46 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll 2007-11-18 21:46 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe 2007-11-18 21:46 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll 2007-11-18 21:45 . 2007-11-18 21:45 <DIR> d-------- C:\Programme\eRightSoft 2007-11-18 00:27 . 2007-11-18 00:27 <DIR> d-------- C:\Programme\XviD 2007-11-17 23:04 . 2007-11-17 23:04 <DIR> d-------- C:\Programme\Last.fm 2007-11-17 23:04 . 2007-11-17 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2007-11-16 13:32 . 2007-11-17 20:50 <DIR> d-------- C:\Programme\Buyertools Reminder . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 23:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-12-05 16:57 --------- d-----w C:\Programme\eMule 2007-12-05 11:48 --------- d-----w C:\Programme\Mozilla Thunderbird 2007-12-05 01:16 --------- d-----w C:\Programme\ICQ 2007-12-02 20:26 --------- d-----w C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\mIRC 2007-12-02 14:42 --------- d-----w C:\Programme\mIRC 2007-11-30 21:10 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-30 19:39 --------- d-----w C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\OpenOffice.org2 2007-11-24 20:28 --------- d-----w C:\Programme\BitComet 2007-11-04 13:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels 2007-11-04 12:15 --------- d-----w C:\Programme\Trillian 2007-11-01 15:52 --------- d-----w C:\Programme\XP Codec Pack 2007-09-13 16:23 796,672 ----a-w C:\WINDOWS\GPInstall.exe 1999-07-07 00:00 6 --sh--r C:\WINDOWS\@@desktop.dat 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 04:32] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 16:03] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 21:46] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:58] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 13:42] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 02:20] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 22:26] "LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 22:17] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57] . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 16:13:09 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-06 16:14:03 - machine was rebooted C:\ComboFix2.txt ... 2007-12-06 13:06 C:\ComboFix3.txt ... 2007-12-06 00:40 . --- E O F --- Was muss ich jetzt noch machen? Um zu gucken ob auch echt alles weg ist? |
|
|
||
06.12.2007, 16:29
Ehrenmitglied
Beiträge: 6028 |
#6
Jetzt darfst du Qoobox entfernen
Entferne auf C:\ Qoobox-->Papierkorb leeren ATF cleaner Benutze ATF Cleaner http://board.protecus.de/t23188.htm CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /U OK Systemwiederherstellung Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) __________ MfG Argus |
|
|
||
06.12.2007, 16:41
...neu hier
Themenstarter Beiträge: 4 |
#7
Hey alles super.
Vielen Dank für für Hilfe, sehr schnell und kompetent! |
|
|
||
06.12.2007, 16:55
Ehrenmitglied
Beiträge: 6028 |
||
|
||
Hab es mit Avenger versucht und Spybot und Hijackthis aber ich
weiß nicht was und wie ichs am besten löschen soll.
Im Moment hab ich die Nachricht TR/Agent.uaa gefunden in system32...
Hier die Logs:
(wenn ich die Logs öffnen erscheint auch immer so ein Warnfenster was ich erst wegklicken muss damit es weitergeht.. bzw das Prog lädt was ich eigentlich starten wollte....)
ComboFix
ComboFix 07-12-05.2 - Sommerwind 2007-12-06 12:59:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1508 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sommerwind\Desktop\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2007-11-06 bis 2007-12-06 ))))))))))))))))))))))))))))))
.
2007-12-06 00:50 . 2007-12-06 00:50 36,864 --a------ C:\WINDOWS\system32\mljgghe.dll
2007-12-06 00:27 . 2007-12-06 00:27 <DIR> d-------- C:\Programme\Ouymbtsq
2007-12-06 00:21 . 2007-12-06 00:21 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-12-06 00:03 . 2007-12-06 12:56 <DIR> d-------- C:\VundoFix Backups
2007-12-05 23:39 . 2007-12-05 23:39 <DIR> d-------- C:\Programme\Trend Micro
2007-12-05 23:14 . 2007-12-05 23:14 <DIR> d-------- C:\Programme\Yahoo!
2007-12-05 23:14 . 2007-12-05 23:14 <DIR> d-------- C:\Programme\CCleaner
2007-12-05 21:39 . 2007-12-05 21:39 15 --a------ C:\WINDOWS\system32\448e2450
2007-12-05 18:19 . 2007-12-05 18:19 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-05 18:02 . 2007-12-05 18:02 <DIR> d-------- C:\Programme\E404 Helper
2007-12-05 18:02 . 2007-12-06 00:18 21,791 --ahs---- C:\WINDOWS\system32\qqtwa.ini2
2007-12-05 18:02 . 2007-12-06 00:18 21,791 --ahs---- C:\WINDOWS\system32\qqtwa.ini
2007-12-05 17:55 . 2007-12-06 00:25 <DIR> d-------- C:\Program Files
2007-12-05 17:54 . 2007-12-05 17:55 1,154,709 --a------ C:\Install
2007-12-05 17:53 . 2007-12-06 01:18 <DIR> d-------- C:\Programme\zuxmfojs
2007-12-05 17:53 . 2007-12-05 22:06 <DIR> d-------- C:\Programme\Vfmskoml
2007-12-04 17:46 . 2007-12-04 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2007-12-04 14:41 . 2007-12-04 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\Sommerwind\.DownloadManager
2007-11-30 22:11 . 2007-11-30 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\CyberLink
2007-11-30 22:11 . 2007-12-04 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2007-11-30 22:09 . 2007-11-30 22:10 <DIR> d-------- C:\Programme\CyberLink
2007-11-27 16:06 . 2007-11-27 16:06 <DIR> d-------- C:\Fraps
2007-11-27 16:06 . 2007-11-27 16:11 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-27 16:06 . 2007-11-27 16:06 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-11-27 15:54 . 2007-11-27 15:54 <DIR> d-------- C:\WmrPro
2007-11-27 15:54 . 2007-11-27 15:54 <DIR> d-------- C:\Programme\WmrPro
2007-11-27 15:33 . 2007-11-27 15:33 <DIR> d-------- C:\Programme\DVD Shrink
2007-11-27 15:33 . 2007-11-27 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-11-25 18:35 . 2007-11-25 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2007-11-25 18:34 . 2007-11-25 18:35 24 ---hs---- C:\WINDOWS\SCE7F6DB7.tmp
2007-11-24 21:29 . 2007-11-24 21:29 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2007-11-21 19:23 . 2007-11-21 19:23 81,920 --a------ C:\WINDOWS\system32\frapsvid.dll
2007-11-19 18:05 . 2007-11-19 18:05 <DIR> d-------- C:\Programme\GSpot
2007-11-19 17:42 . 2007-11-19 17:42 <DIR> d-------- C:\Programme\MKVtoolnix
2007-11-19 17:42 . 2007-11-19 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\Media Player Classic
2007-11-18 22:02 . 2007-11-18 22:02 <DIR> d-------- C:\Programme\Gabest
2007-11-18 21:51 . 2007-11-18 21:51 <DIR> d-------- C:\Programme\LD-Anime
2007-11-18 21:50 . 2007-11-18 21:57 71,026,996 --a------ C:\[V-A]_Gravitation_TV_-_10_[32C79C40].mkv.AVI
2007-11-18 21:46 . 2007-11-18 21:46 <DIR> d-------- C:\Programme\AviSynth 2.5
2007-11-18 21:46 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2007-11-18 21:46 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2007-11-18 21:46 . 2007-05-14 15:24 394,240 --a------ C:\WINDOWS\system32\Smab.dll
2007-11-18 21:46 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2007-11-18 21:46 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2007-11-18 21:46 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2007-11-18 21:46 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-11-18 21:46 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2007-11-18 21:46 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2007-11-18 21:46 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2007-11-18 21:45 . 2007-11-18 21:45 <DIR> d-------- C:\Programme\eRightSoft
2007-11-18 00:27 . 2007-11-18 00:27 <DIR> d-------- C:\Programme\XviD
2007-11-17 23:04 . 2007-11-17 23:04 <DIR> d-------- C:\Programme\Last.fm
2007-11-17 23:04 . 2007-11-17 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-11-16 13:32 . 2007-11-17 20:50 <DIR> d-------- C:\Programme\Buyertools Reminder
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 23:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-05 16:57 --------- d-----w C:\Programme\eMule
2007-12-05 11:48 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-12-05 01:16 --------- d-----w C:\Programme\ICQ
2007-12-02 20:26 --------- d-----w C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\mIRC
2007-12-02 14:42 --------- d-----w C:\Programme\mIRC
2007-11-30 21:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-30 19:39 --------- d-----w C:\Dokumente und Einstellungen\Sommerwind\Anwendungsdaten\OpenOffice.org2
2007-11-24 20:28 --------- d-----w C:\Programme\BitComet
2007-11-04 13:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Control Panels
2007-11-04 12:15 --------- d-----w C:\Programme\Trillian
2007-11-01 15:52 --------- d-----w C:\Programme\XP Codec Pack
2007-09-13 16:23 796,672 ----a-w C:\WINDOWS\GPInstall.exe
1999-07-07 00:00 6 --sh--r C:\WINDOWS\@@desktop.dat
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{161C9A74-1B69-45C7-B985-988E147F9C36}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{436BB1BA-2670-E517-F753-036968A4205F}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ABB68206-5154-47D3-ABC5-611C1658ABA0}]
2007-12-06 00:50 36864 --a------ C:\WINDOWS\system32\mljgghe.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"ICQ Plus"="C:\Programme\ICQPlus\vplus.exe" [2002-12-04 04:32]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 16:03]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 21:46]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:58]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 13:42]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2006-10-17 02:20]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 22:26]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 22:17]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 18:16:50]
Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2007-11-17 23:04:14]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ABB68206-5154-47D3-ABC5-611C1658ABA0}"= C:\WINDOWS\system32\mljgghe.dll [2007-12-06 00:50 36864]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgghe]
mljgghe.dll 2007-12-06 00:50 36864 C:\WINDOWS\system32\mljgghe.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqqqqq]
urqqqqq.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkq32]
winrkq32.dll
R1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
.
**************************************************************************
catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 13:04:28
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2007-12-06 13:06:35
C:\ComboFix2.txt ... 2007-12-06 00:40
.
--- E O F ---
HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:03, on 06.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\Dokumente und Einstellungen\Sommerwind\Desktop\VundoFix.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HJT\HijackThis.exe
C:\Programme\Trend Micro\HJT\HJT.exe
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {161C9A74-1B69-45C7-B985-988E147F9C36} - (no file)
O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: (no name) - {436BB1BA-2670-E517-F753-036968A4205F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\mljgghe.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programme\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184698442296
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{643623B1-52A3-4C47-97D0-E5C08854A9B7}: NameServer = 62.109.123.196 213.191.74.18
O20 - Winlogon Notify: mljgghe - C:\WINDOWS\SYSTEM32\mljgghe.dll
O20 - Winlogon Notify: urqqqqq - urqqqqq.dll (file missing)
O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
--
End of file - 9991 bytes
datfind
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 448E-3671
Verzeichnis von C:\WINDOWS\system32
06.12.2007 00:50 36.864 mljgghe.dll
06.12.2007 00:21 24.576 VundoFixSVC.exe
06.12.2007 00:18 21.791 qqtwa.ini2
06.12.2007 00:18 21.791 qqtwa.ini
05.12.2007 21:39 15 448e2450
04.12.2007 12:22 2.206 wpa.dbl
04.12.2007 01:00 136.704 swsc.exe
27.11.2007 16:10 664 d3d9caps.dat
27.11.2007 16:06 552 d3d8caps.dat
24.11.2007 21:29 2.560 bitcometres.dll
21.11.2007 19:23 81.920 frapsvid.dll
06.11.2007 11:21 1.419.984 FNTCACHE.DAT
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
28.10.2007 10:54 58.596 perfc009.dat
28.10.2007 10:54 405.118 perfh007.dat
28.10.2007 10:54 392.296 perfh009.dat
28.10.2007 10:54 70.580 perfc007.dat
28.10.2007 10:54 938.224 PerfStringBackup.INI
25.10.2007 17:55 8.495.616 shell32.dll
21.09.2007 14:35 286.720 dtsac3source.ax
18.09.2007 14:31 376.832 AviSplitter.ax
18.09.2007 14:29 446.464 MatroskaSplitter.ax
18.09.2007 14:27 434.176 RealMediaSplitter.ax
20 Datei(en) 3.205 Bytes
0 Verzeichnis(se), 31.700.561.920 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 448E-3671
Verzeichnis von C:\WINDOWS\Downloaded Program Files
27.06.2007 18:34 65 desktop.ini
20.04.2007 14:33 487.424 DownloadManagerV2.ocx
20.04.2007 13:26 251 DownloadManagerV2.inf
26.05.2005 03:19 291 wuweb.inf
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
5 Datei(en) 489.193 Bytes
0 Verzeichnis(se), 31.700.561.920 Bytes frei
. [/b]