TR/Vundo.Gen und TR/Drop.Agent.CWD

#0
07.12.2007, 23:19
...neu hier

Beiträge: 6
#1 Hi! Hoffe ich habe alles zusammen. Zuerst habe ich folgenden Trojaner : TR/Drop.Agent.CWD gefunden und versucht zu entfernen. Habe hier dann mein Problem reingestellt. Als ich eventuelle Antworten auf meine Frage lesen wollte tauchte ein neuer Trojaner auf :TR/Vundo.Gen
Habe nun mich an die Anleitung gehalten und hoffentlich alles beisammen.
Freue mich über Hilfe.
ComboFix 07-12-07.3 - ich 2007-12-07 22:50:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1610 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ich\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\outlook
C:\svchost.exe
C:\WINDOWS\b.exe
C:\WINDOWS\Fonts\a.zip
C:\WINDOWS\Fonts\Crack.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\x.dat
C:\z.dat
C:\WINDOWS\Fonts\'

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-11-07 bis 2007-12-07 ))))))))))))))))))))))))))))))
.

2007-12-07 10:14 . 2007-12-07 10:14 74,304 --a------ C:\WINDOWS\system32\kowctruw.exe
2007-12-07 10:14 . 2007-12-07 10:14 63,473 ---hs---- C:\WINDOWS\system32\abeeg.bak2
2007-12-06 14:27 . 2007-12-07 11:09 <DIR> d-------- C:\Programme\Trojancheck 6
2007-12-06 14:00 . 2007-12-06 14:00 6,496 ---hs---- C:\WINDOWS\system32\abeeg.bak1
2007-12-06 13:59 . 2007-12-06 13:59 327,264 --------- C:\WINDOWS\system32\geeba.dll
2007-12-06 13:59 . 2007-12-07 22:58 68,357 ---hs---- C:\WINDOWS\system32\abeeg.ini
2007-12-06 13:58 . 2007-12-06 13:58 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-12-06 13:54 . 2007-12-06 13:54 37,376 --------- C:\WINDOWS\system32\fccdbbx.dll
2007-12-06 13:54 . 2007-12-06 13:54 260 --a------ C:\1748.bat
2007-12-06 13:54 . 2007-12-06 13:54 134 --a------ C:\n.bat
2007-12-06 13:53 . 2007-12-06 13:53 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-06 13:52 . 2007-12-06 13:52 0 --a------ C:\WINDOWS\system32\taskkill.exe
2007-12-06 12:29 . 2007-12-06 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a32w
2007-12-06 12:29 . 2007-12-06 12:29 1 --a------ C:\WINDOWS\system32\exp16sys.dll
2007-12-03 12:48 . 2007-12-03 12:48 <DIR> d-------- C:\Programme\AxBx
2007-11-30 10:50 . 2007-11-30 10:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-30 10:50 . 2007-11-30 10:50 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-16 15:35 . 2007-11-16 15:35 0 --a------ C:\WINDOWS\ativpsrm.bin

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-06 12:58 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\LimeWire
2007-12-03 20:11 --------- d-----w C:\Programme\eMule
2007-12-03 12:07 --------- d-----w C:\Programme\LimeWire
2007-12-01 02:11 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Hamachi
2007-11-27 12:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OD2
2007-11-10 22:41 --------- d-----w C:\Programme\Hamachi
2007-11-04 11:54 --------- d-----w C:\Programme\THQ
2007-11-04 11:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-31 19:30 --------- d-----w C:\Programme\avmwlanstick
2007-10-30 18:57 --------- d-----w C:\Programme\Trillian
2007-10-13 22:06 --------- d-----w C:\Programme\Google
2007-10-13 12:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-13 12:38 --------- d-----w C:\Programme\Ubisoft
2007-10-09 13:39 --------- d-----w C:\Programme\IrfanView
2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-09-29 02:58 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-09-29 02:58 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-09-29 02:58 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-09-29 02:57 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-09-29 02:56 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-09-29 02:55 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-09-29 02:49 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:23 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-09-29 02:20 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-09-28 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E3FBDE2-7DBD-4040-85D9-29BBC559C129}]
2007-12-06 13:54 37376 --------- C:\WINDOWS\system32\fccdbbx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA691058-6AF2-4B47-82A1-3AEE7CFE3C61}]
2007-12-06 13:59 327264 --------- C:\WINDOWS\system32\geeba.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bcdcf007-730d-47ee-a52c-08cd8eace3d3}]
C:\WINDOWS\system32\vcugrpas.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-20 20:20]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-25 16:53]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:02]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-30 10:31]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:35]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{8E3FBDE2-7DBD-4040-85D9-29BBC559C129}"= C:\WINDOWS\system32\fccdbbx.dll [2007-12-06 13:54 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccdbbx]
fccdbbx.dll 2007-12-06 13:54 37376 C:\WINDOWS\system32\fccdbbx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\geeba.dll

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
S3 ATHFMWDL;NETGEAR WG111T Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\DNINDIS5.SYS
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys

.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 22:58:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-07 22:59:37 - machine was rebooted
.
--- E O F ---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:27, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ich\LOKALE~1\Temp\Rar$EX00.735\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINDOWS\system32\fccdbbx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {ADD61730-8EBC-4625-B13C-B86FD59F6F5D} - C:\WINDOWS\system32\geeba.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: {3d3ecae8-dc80-c25a-ee74-d037700fcdcb} - {bcdcf007-730d-47ee-a52c-08cd8eace3d3} - C:\WINDOWS\system32\vcugrpas.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A01856E-DEDF-4AFD-9463-39E366725535}: NameServer = 192.168.2.1
O20 - Winlogon Notify: fccdbbx - C:\WINDOWS\SYSTEM32\fccdbbx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5020 bytes

.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist HDD
Volumeseriennummer: E011-0EF7

Verzeichnis von C:\WINDOWS\system32

07.12.2007 23:09 68.357 abeeg.ini
07.12.2007 17:13 405.446 perfh009.dat
07.12.2007 17:13 77.084 perfc007.dat
07.12.2007 17:13 63.996 perfc009.dat
07.12.2007 17:13 420.812 perfh007.dat
07.12.2007 17:13 979.370 PerfStringBackup.INI
07.12.2007 10:14 74.304 kowctruw.exe
07.12.2007 10:14 63.473 abeeg.bak2
06.12.2007 14:00 6.496 abeeg.bak1
06.12.2007 13:59 327.264 geeba.dll
06.12.2007 13:58 147.456 vbzip10.dll
06.12.2007 13:54 37.376 fccdbbx.dll
06.12.2007 13:52 0 taskkill.exe
06.12.2007 12:29 1 exp16sys.dll
04.12.2007 01:00 136.704 swsc.exe
20.11.2007 18:58 1.158 wpa.dbl
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll
29.09.2007 04:21 9.854.976 atioglx2.dll
29.09.2007 04:07 356.352 ATIDEMGX.dll
29.09.2007 04:06 268.800 ati2dvag.dll
29.09.2007 03:58 143.360 atipdlxx.dll
29.09.2007 03:58 122.880 Oemdspif.dll
29.09.2007 03:58 26.112 Ati2mdxx.exe
29.09.2007 03:58 43.520 ati2edxx.dll
29.09.2007 03:57 122.880 ati2evxx.dll
29.09.2007 03:56 483.328 ati2evxx.exe
29.09.2007 03:55 53.248 ATIDDC.DLL
29.09.2007 03:49 307.200 atiiiexx.dll
29.09.2007 03:47 172.032 atiok3x2.dll
29.09.2007 03:47 3.130.720 ati3duag.dll
29.09.2007 03:36 1.593.600 ativvaxx.dll
29.09.2007 03:36 3.107.788 ativva5x.dat
29.09.2007 03:36 3.107.788 ativvaxx.dat
29.09.2007 03:36 972.072 ativva6x.dat
29.09.2007 03:23 5.435.392 atioglxx.dll
29.09.2007 03:22 376.832 atikvmag.dll
29.09.2007 03:20 17.408 atitvo32.dll
29.09.2007 03:14 499.712 ati2cqag.dll
28.09.2007 21:05 593.920 ati2sgag.exe
11.09.2007 16:55 263.024 FNTCACHE.DAT
29.08.2007 20:59 249.852 TZLog.log
22.08.2007 14:13 664.576 wininet.dll
22.08.2007 14:13 617.472 urlmon.dll
22.08.2007 14:13 1.494.528 shdocvw.dll
22.08.2007 14:13 474.624 shlwapi.dll
22.08.2007 14:13 39.424 pngfilt.dll
22.08.2007 14:13 532.480 mstime.dll
22.08.2007 14:13 449.024 mshtmled.dll
22.08.2007 14:13 146.432 msrating.dll
22.08.2007 14:13 3.079.168 mshtml.dll
22.08.2007 14:13 16.384 jsproxy.dll
22.08.2007 14:13 251.392 iepeers.dll
22.08.2007 14:13 55.808 extmgr.dll
22.08.2007 14:13 205.312 dxtrans.dll
22.08.2007 14:13 96.768 inseng.dll
22.08.2007 14:13 357.888 dxtmsft.dll
22.08.2007 14:13 152.064 cdfview.dll
22.08.2007 14:13 1.022.976 browseui.dll
22.08.2007 14:13 1.056.256 danim.dll
21.08.2007 07:16 683.520 inetcomm.dll
18.08.2007 11:19 146.650 BuzzingBee.wav
18.08.2007 11:19 940.794 LoopyMusic.wav
14.08.2007 22:11 156.671 atiicdxx.dat
Dieser Beitrag wurde am 07.12.2007 um 23:45 Uhr von Laxxtara editiert.
Seitenanfang Seitenende
08.12.2007, 00:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\exp16sys.dll

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
08.12.2007, 10:42
...neu hier

Themenstarter

Beiträge: 6
#3 Habe nun alle Dateien sichtbar gemacht und auch versucht dieses zwei Programme laufen zu lassen.
Konnte das Ergebnis aber nicht wirklich verstehen. Beseitigen kann ich auftretende Viren/Trojaner nur mit der registrierten Version.
Soll ich noch mal alle Dateien hier aufführen?
Seitenanfang Seitenende
08.12.2007, 16:40
...neu hier

Beiträge: 2
#4 Hallo an alle ich bin neu hier und habe das selbe Problem mit diesem sch.... Trojaner ich bin auch dabei alles so zu machen wie es im forum steht!

also eine Hijackthis los habe ich bereit

Logfile of HijackThis v1.99.1
Scan saved at 16:13:39, on 08.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\MSDE\MSSQL7\binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclBCBTSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiSpywareBot\AntiSpywareBot.exe
C:\Dokumente und Einstellungen\ratlos\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.eases.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cintek.com/default.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=56715
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.eases.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Cintek.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.regiocom.net:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\yayxvus.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [AntiSpywareBot] C:\Programme\AntiSpywareBot\AntiSpywareBot.exe -boot
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .do: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.cintek.com/default.shtml
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/payload2.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/valent.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15c050b0339926b9f521/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102020076870
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A0F0D762-D1DE-43AF-B70E-D87864743EB3} - http://217.145.76.16/nslite/nslite.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: yayxvus - C:\WINDOWS\SYSTEM32\yayxvus.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cassini - Unknown owner - D:\tecis Software\Skandia\bAV-Tools\CassiniService\CassiniService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - Unknown owner - C:\Programme\Virtual CD v8\System\VC8SecS.exe (file missing)


das cleanup habe ich auch gemacht

aber löscht der da denn automatisch???

könnt ihr mir schonmal helfen??
Seitenanfang Seitenende
09.12.2007, 10:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 @Laxxtara
Du sollst beide dateien nacheinander uploaden zum VirusTotal um zu sehen ob Vierchen drin stecken

Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {8E3FBDE2-7DBD-4040-85D9-29BBC559C129} - C:\WINDOWS\system32\fccdbbx.dll
O2 - BHO: (no name) - {ADD61730-8EBC-4625-B13C-B86FD59F6F5D} - C:\WINDOWS\system32\geeba.dll
O2 - BHO: {3d3ecae8-dc80-c25a-ee74-d037700fcdcb} - {bcdcf007-730d-47ee-a52c-08cd8eace3d3} - C:\WINDOWS\system32\vcugrpas.dll (file missing)
O20 - Winlogon Notify: fccdbbx - C:\WINDOWS\SYSTEM32\fccdbbx.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\kowctruw.exe
C:\WINDOWS\system32\abeeg.bak2
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\geeba.dll
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\fccdbbx.dll
C:\1748.bat
C:\n.bat


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
09.12.2007, 14:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 @DJChris82
Entferne via Software: AntiSpywareBot

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.eases.net/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=56715
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.eases.net
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\yayxvus.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKCU\..\Run: [AntiSpywareBot] C:\Programme\AntiSpywareBot\AntiSpywareBot.exe –boot
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/payload2.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/VAL44006/valent.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: yayxvus - C:\WINDOWS\SYSTEM32\yayxvus.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
09.12.2007, 23:09
...neu hier

Beiträge: 2
#7 hallo arnold vielen dank erstmal für die antwort

es ist alles im anhang in der textdatei das einzige ist das bei dem combcfix am ende kein repor kam habe es 2 mal gemacht aber nichts passiert

Anhang: 09.12.07.txt
Seitenanfang Seitenende
09.12.2007, 23:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 ComboFix schon mal benutzt?

Download FixPolicies und speichert es auf den Desktop!

Doppelklick FixPolicies.exe um es zu entpacken.
Klicke den knopf Install
Auf dein Desktop stet jetzt ein Ordner FixPolicies
Öffne diesen Ordner und doppelklick Fix_Policies.cmd
Ein schwarzes Fenster wird öffnen und sofort wieder schliessen (ist normal)

Und versuch CF nochmal
In der Anleitung stand auch: entferne Hijack This 1.99.1 und......
__________
MfG Argus
Seitenanfang Seitenende
09.12.2007, 23:49
...neu hier

Themenstarter

Beiträge: 6
#9 HI! Vielen Dank für dein schnelle Hilfe.
Habe bevor ich dieses Anleitungen von dir ausgeführt habe ein weiteres Virusprogramm laufen lassen ArcaMicroScanUpdater, der hat anscheinend schon irgendwas entfernt.
Hier noch die entsprechenden Dateien
----------------RVAXO.exe first run-------------

Files found:

C:\WINDOWS\system32\vbzip10.dll

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------

ComboFix 07-12-07.3 - ich 2007-12-09 23:10:42.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1528 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ich\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\ich\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\1748.bat
C:\n.bat
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\abeeg.bak2
C:\WINDOWS\system32\abeeg.ini
C:\WINDOWS\system32\fccdbbx.dll
C:\WINDOWS\system32\geeba.dll
C:\WINDOWS\system32\kowctruw.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\1748.bat
C:\n.bat
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\abeeg.bak2
C:\WINDOWS\system32\abeeg.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-09 bis 2007-12-09 ))))))))))))))))))))))))))))))
.

2007-12-09 21:11 . 2006-12-28 00:02 147,456 -ra------ C:\WINDOWS\instwcli.dex
2007-12-08 20:15 . 2007-12-08 20:15 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ArcaBit
2007-12-08 10:33 . 2007-12-08 10:33 <DIR> d-------- C:\Programme\Enigma Software Group
2007-12-08 00:32 . 2007-12-08 00:32 13 --a------ C:\WINDOWS\system32\e0111cd6
2007-12-06 13:58 . 2007-12-06 13:58 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-12-06 13:53 . 2007-12-06 13:53 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-06 13:52 . 2007-12-06 13:52 0 --a------ C:\WINDOWS\system32\taskkill.exe
2007-12-06 12:29 . 2007-12-06 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\a32w
2007-12-06 12:29 . 2007-12-06 12:29 1 --a------ C:\WINDOWS\system32\exp16sys.dll
2007-12-03 12:48 . 2007-12-03 12:48 <DIR> d-------- C:\Programme\AxBx
2007-11-30 10:50 . 2007-11-30 10:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-11-30 10:50 . 2007-11-30 10:50 1,409 --a------ C:\WINDOWS\QTFont.for
2007-11-16 15:35 . 2007-11-16 15:35 0 --a------ C:\WINDOWS\ativpsrm.bin

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-09 21:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-09 20:12 --------- d-----w C:\Programme\avmwlanstick
2007-12-09 20:12 --------- d-----w C:\Programme\3DO
2007-12-08 09:44 --------- d-----w C:\Programme\LimeWire
2007-12-06 12:58 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\LimeWire
2007-12-03 20:11 --------- d-----w C:\Programme\eMule
2007-12-01 02:11 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Hamachi
2007-11-27 12:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OD2
2007-11-10 22:41 --------- d-----w C:\Programme\Hamachi
2007-11-04 11:54 --------- d-----w C:\Programme\THQ
2007-11-04 11:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-30 18:57 --------- d-----w C:\Programme\Trillian
2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-13 22:06 --------- d-----w C:\Programme\Google
2007-10-13 12:38 --------- d-----w C:\Programme\Ubisoft
2007-10-09 13:39 --------- d-----w C:\Programme\IrfanView
2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-09-29 03:05 2,456,064 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys
2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-09-29 02:58 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-09-29 02:58 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-09-29 02:58 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-09-29 02:57 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-09-29 02:56 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-09-29 02:55 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-09-29 02:49 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:23 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-09-29 02:20 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-09-28 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0BBD2E2E-4212-4490-B69F-C4B03D4222F9}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-20 20:20]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-25 16:53]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-30 10:31]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:35]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2007-09-25 17:18:51]

R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\wg11tnd5.sys
S3 ATHFMWDL;NETGEAR WG111T Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\DNINDIS5.SYS
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed4cbe78-b080-11db-a27e-806d6172696f}]
\Shell\AutoRun\command - E:\_AUTORUN\AUTORUN.EXE
\Shell\instDX\command - E:\directX\dxsetup.exe
\Shell\readme\command - notepad readme.txt

.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 23:11:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-09 23:11:50
C:\ComboFix2.txt ... 2007-12-09 10:02
C:\ComboFix3.txt ... 2007-12-07 22:59
.
--- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:18, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\ich\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {0BBD2E2E-4212-4490-B69F-C4B03D4222F9} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A01856E-DEDF-4AFD-9463-39E366725535}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 4484 bytes
Seitenanfang Seitenende
10.12.2007, 00:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 @Laxxtara
Entferne auf C:\ Qoobox-->Papierkorb leeren

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {0BBD2E2E-4212-4490-B69F-C4B03D4222F9} - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Scanne mit dein Up-to-date Virenscanner
__________
MfG Argus
Seitenanfang Seitenende
10.12.2007, 00:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 @DJChris82

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - (no file)
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: (no name) - {6237441B-28D8-4AA8-8089-C3BF6EE1724C} - C:\WINDOWS\system32\ssqqp.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: (no name) - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - (no file)
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: (no name) - {937B1F7D-D382-4AAB-BD9A-27170D5AB889} - C:\WINDOWS\system32\yayxvus.dll
O2 - BHO: (no name) - {938BAB79-DFAD-422A-BDAC-E7736A73584B} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {DB588686-F41B-8ACC-2E99-879C70B0E9C4} - (no file)
O2 - BHO: (no name) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: yayxvus - C:\WINDOWS\SYSTEM32\yayxvus.dll

Avenger
Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\ssqqp.dll
C:\WINDOWS\system32\b4ae0868
C:\WINDOWS\system32\pbgffkya.ini
C:\WINDOWS\system32\yayxvus.dll
C:\DOKUME~1\ratlos\LOKALE~1\Temp\rutuljfcN.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

Und ein log von Hijack This 2.0.2!
__________
MfG Argus
Seitenanfang Seitenende
10.12.2007, 20:11
...neu hier

Themenstarter

Beiträge: 6
#12 Hey Arnold!
So ich hoffe es dieses Mal richtig ausgeführt zu haben ;) Kann nicht wirklich sagen, dass ich weiß was ich da getan habe und ob das auch gut war.
Hab noch mal nen Hijacklog gemacht
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:36, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Dokumente und Einstellungen\ich\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A01856E-DEDF-4AFD-9463-39E366725535}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 4377 bytes

Wie schaut es jetzt aus?
Seitenanfang Seitenende
10.12.2007, 20:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Im Log stet nichts mehr was mir sorgen machst ;)
__________
MfG Argus
Seitenanfang Seitenende
10.12.2007, 20:25
...neu hier

Themenstarter

Beiträge: 6
#14 Juhuuuuuuu
Vielen Dank für deine Superhilfe, bin jetzt echt froh.
Gruß Laxxtara
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: