ständige AntiVir Meldung ----> TR/Vundo.Gen

#0
12.12.2007, 22:29
...neu hier

Beiträge: 3
#1 Habe ständige Trojaner Meldung unter AntiVir. Die Dateien lassen sich nicht löschen bzw. tauchen immer wieder auf. Bitte um dringende Hilfe.

Danke schonmal

Hier die HijackThis File:

Logfile of HijackThis v1.99.1
Scan saved at 22:27:51, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
E:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AVC Finger-sensing Pad Driver\FspadSvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
E:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ctfmon.exe
E:\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
E:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Gigi De' Angelo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www3.einfachstarten.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - E:\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7822058A-1C84-4A8A-979A-0B1189930CA6} - C:\WINDOWS\system32\khffdde.dll
O2 - BHO: (no name) - {EE77A67A-F5E8-4AC7-8E42-3B171D7C095F} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Gigi De' Angelo\Desktop\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://E:\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - E:\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: khffdde - C:\WINDOWS\SYSTEM32\khffdde.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: FspadSvc - Unknown owner - C:\Program Files\AVC Finger-sensing Pad Driver\FspadSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - E:\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Seitenanfang Seitenende
12.12.2007, 23:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
12.12.2007, 23:49
...neu hier

Themenstarter

Beiträge: 3
#3 ComboFix 07-12-12.3 - Gigi De' Angelo 2007-12-12 23:19:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1612 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gigi De' Angelo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\khffdde.dll
C:\WINDOWS\system32\rttss.ini2
C:\WINDOWS\system32\rttss.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm


((((((((((((((((((((((( Dateien erstellt von 2007-11-12 bis 2007-12-12 ))))))))))))))))))))))))))))))
.

2007-12-12 21:22 . 2007-12-12 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\SUPERAntiSpyware.com
2007-12-12 21:22 . 2007-12-12 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2007-12-12 21:19 . 2007-12-12 21:19 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-12 21:19 . 2007-12-12 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-12 21:17 . 2007-12-12 21:19 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-12-12 21:17 . 2007-12-12 21:18 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-12-12 21:17 . 2007-12-12 21:18 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-12-12 21:17 . 2007-12-12 21:18 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-12 20:56 . 2007-12-12 20:56 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Ahead
2007-12-12 20:24 . 2007-12-12 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Gigi De' Angelo\DoctorWeb
2007-12-12 19:37 . 2007-12-12 19:37 <DIR> d-------- C:\VundoFix Backups
2007-12-05 23:04 . 2007-12-05 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\Nero
2007-11-15 18:36 . 2007-11-15 18:36 <DIR> d-------- C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\ArcSoft
2007-11-13 18:31 . 2007-11-13 18:31 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-11-13 18:31 . 2007-11-13 18:31 <DIR> d-------- C:\Programme\AGEIA Technologies

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-12 20:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-09 18:51 --------- d-----w C:\Programme\Gemeinsame Dateien\DAZ
2007-11-26 22:51 --------- d-----w C:\Programme\Apple Software Update
2007-11-26 15:25 --------- d-----w C:\Programme\Java
2007-11-15 18:22 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-14 02:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-11-09 11:20 22,328 ----a-w C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\PnkBstrK.sys
2007-11-09 11:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-30 02:00 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-10-28 19:26 --------- d-----w C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\Canon
2007-10-28 19:25 --------- d-----w C:\Programme\Canon
2007-10-28 19:16 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-10-28 19:16 --------- d-----w C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\ScanSoft
2007-10-28 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2007-10-28 19:06 --------- d-----w C:\Programme\Gemeinsame Dateien\CANON
2007-10-28 19:03 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-10-28 19:02 --------- d--h--w C:\Programme\CanonBJ
2007-10-25 04:55 --------- d-----w C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\THQ
2007-10-25 04:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-10-25 04:50 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-21 19:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-10-21 19:22 --------- d-----w C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\InstallShield Installation Information
2007-10-18 19:56 --------- d-----w C:\Programme\MSXML 4.0
2007-10-17 14:28 --------- d-----w C:\Dokumente und Einstellungen\Gigi De' Angelo\Anwendungsdaten\WinButler
2007-10-15 16:45 --------- d-----w C:\Programme\Electronic Arts
2007-10-15 16:45 --------- d-----w C:\Programme\DivX
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 20:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16:56 C:\WINDOWS\RTHDCPL.exe]
"avgnt"="E:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:45]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-10 20:00 C:\WINDOWS\system32\rundll32.exe]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 13:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 20:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= E:\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
E:\SUPERAntiSpyware\SASWINLO.dll 2006-10-19 09:12 258048 E:\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

R1 WINIO;WINIO;\??\C:\WINDOWS\system32\WinIo.sys
R2 FspadSvc;FspadSvc;C:\Program Files\AVC Finger-sensing Pad Driver\FspadSvr.exe
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 fspad;AVC Finger-sensing Pad Driver for Windows 2000/XP;C:\WINDOWS\system32\DRIVERS\fspad.sys
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-09-21 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- E:\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-08-28 09:52:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-12 23:26:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-12 23:28:06 - machine was rebooted
.
2007-11-14 02:02:39 --- E O F ---




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:31, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
E:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\AVC Finger-sensing Pad Driver\FspadSvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
E:\Nero 7\Nero 7\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
E:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Mozilla Firefox\firefox.exe
E:\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - E:\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://E:\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\MICROS~1\Office12\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - E:\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: FspadSvc - Unknown owner - C:\Program Files\AVC Finger-sensing Pad Driver\FspadSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - E:\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5595 bytes



.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: D0E0-A3A7

Verzeichnis von C:\WINDOWS\system32

12.12.2007 23:26 2.206 wpa.dbl
12.12.2007 23:26 51.048 nvapps.xml
12.12.2007 23:24 136.639 oodbs.lor
12.12.2007 21:18 2.550 Uninstall.ico
12.12.2007 21:18 1.406 Help.ico
12.12.2007 21:18 30.590 pavas.ico
11.12.2007 19:39 418.914 DUMP.TXT
04.12.2007 01:00 136.704 swsc.exe
26.11.2007 16:25 5.686 jupdate-1.6.0_03-b05.log
15.11.2007 19:19 107.832 PnkBstrB.exe
13.11.2007 06:34 270.192 FNTCACHE.DAT
11.11.2007 19:30 66.872 PnkBstrA.exe
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 12:52 75.282 perfc009.dat
28.10.2007 12:52 448.392 perfh009.dat
28.10.2007 12:52 467.708 perfh007.dat
28.10.2007 12:52 88.838 perfc007.dat
28.10.2007 12:52 1.093.964 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
13.09.2007 09:45 70.944 PhysXLoader.dll
29.08.2007 21:07 249.852 TZLog.log

2263 Datei(en) 554.778.334 Bytes
0 Verzeichnis(se), 2.088.419.328 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: D0E0-A3A7

Verzeichnis von C:\DOKUME~1\GIGIDE~1\LOKALE~1\Temp

12.12.2007 23:34 111.063 datfind.txt
12.12.2007 23:30 173 jusched.log
2 Datei(en) 111.236 Bytes
0 Verzeichnis(se), 2.088.435.712 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: D0E0-A3A7

Verzeichnis von C:\WINDOWS

12.12.2007 23:27 1.097.679 WindowsUpdate.log
12.12.2007 23:25 0 0.log
12.12.2007 23:25 159 wiadebug.log
12.12.2007 23:25 50 wiaservc.log
12.12.2007 23:25 227 system.ini
12.12.2007 23:24 2.048 bootstat.dat
12.12.2007 22:09 4.924 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
12.12.2007 21:19 15.499 setupapi.log
11.12.2007 21:01 310 Clony2.ini
11.12.2007 06:43 69 NeroDigital.ini
09.12.2007 19:17 4.161 ODBCINST.INI
09.12.2007 19:14 28 ODBC.INI
09.12.2007 19:04 142.336 catchme.exe
28.11.2007 19:29 745 Dc.INI
09.11.2007 12:20 301 game.ini
28.10.2007 20:16 370 MAXLINK.INI
21.10.2007 20:37 244 wiso.ini
21.10.2007 20:21 264 BUHL.INI
10.10.2007 21:25 1.393 imsins.BAK
21.09.2007 17:56 32.630 SchedLgU.Txt
09.09.2007 10:18 2.215 CDPR.INI
21.08.2007 16:40 0 oodcnt.INI

103 Datei(en) 45.187.289 Bytes
0 Verzeichnis(se), 2.088.431.616 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: D0E0-A3A7

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datenträger in Laufwerk C: ist Windows
Volumeseriennummer: D0E0-A3A7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.10.2007 21:40 2.305 kavwebscan.inf
14.03.2007 22:54 65 desktop.ini
24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
16.05.2006 10:58 484.272 isusweb.dll
16.05.2006 10:58 196.608 dwusplay.exe
16.05.2006 10:58 24.576 dwusplay.dll
7 Datei(en) 849.787 Bytes
0 Verzeichnis(se), 2.088.431.616 Bytes frei



Fehlerbeschreibung:

AntiVir zeigt alle paar Minuten die Meldung über nen Trojaner [TR/Vundo.Gen] an. Mit unter anderem diesen Pfaden:

C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\system32\ssttr.dll
C:\WINDOWS\system32\awtqn.dll
C:\WINDOWS\system32\geebx.dll
C:\WINDOWS\system32\jkhfc.dll
C:\WINDOWS\system32\ssqrq.dll
C:\WINDOWS\system32\mlljj.dll
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\system32\ddcya.dll

Die Dateien lassen sich nicht löschen bzw. es tauchen dann immer neue auf.


Danke schonmal für die Mühe und die Hilfe!!!!!
Seitenanfang Seitenende
12.12.2007, 23:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 C:\VundoFix Backups und C:\Qoobox entfernen und Papierkorb leeren

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Fertig ;)
__________
MfG Argus
Seitenanfang Seitenende
13.12.2007, 00:01
...neu hier

Themenstarter

Beiträge: 3
#5 Und dann warst das? So einfach???

Ich hoff es passt. Werd jetzt neu starten!

BIG thx :-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: