TR/Vundo.Gen unter anderem

#0
29.12.2007, 17:14
Member

Beiträge: 16
#1 Moin!

AntiVir findet bei mir seit Kurzem den Trojaner TR/Vundo.Gen in der Datei C:\WINDOWS\system32\qomlmjh.dll. Dieser lässt sich nicht ausschalten (löschen, in Quarantäne verschieben) und meldet sich über AntiVir immer wieder, wenn zB Firefox startet. Auch wenn der PC startet, meldet sich AntiVir immer wieder, auch wegen anderen Trojanern... Da ich ein ziemlicher Laie in diesen Dingen bin, hoffe ich auf eure Hilfe!!! Auch weil ich so ein ausgewiesener Laie bin, habe ich diesen neuen Thread eröffnet. Ich weiß nicht, inwieweit schon bestehende Threads auf mein Problem zutreffen... Sorry dafür, falls es nicht der richtige Weg ist!
Weitere Dateien, Verzeichnisse, etc., die auftauchen liefer ich bei Bedarf nach...
Hier schonmal die Logs von ComboFix, HJT und datfind!


ComboFix 07-12-21.4 - 1 2007-12-29 16:46:03.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1361 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Log\2007 Dec 28 - 04_55_06 PM_781.log
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Log\2007 Dec 28 - 04_55_12 PM_281.log
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\rs.dat
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Settings\CustomScan.stg
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Settings\IgnoreList.stg
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Settings\ScanInfo.stg
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Settings\ScanResults.stg
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Settings\SelectedFolders.stg
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot\Settings\Settings.stg
C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\stvwa.ini2
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\DomainService
-------\nm


((((((((((((((((((((((( Dateien erstellt von 2007-11-28 bis 2007-12-29 ))))))))))))))))))))))))))))))
.

2007-12-29 16:51 . 2007-12-29 16:51 348,160 --a------ C:\WINDOWS\system32\awvts.exe
2007-12-29 16:50 . 2007-12-29 16:50 344,576 --------- C:\WINDOWS\system32\awvts.dll
2007-12-28 14:43 . 2007-12-29 16:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe
2007-12-28 14:43 . 2007-12-29 16:51 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-28 14:09 . 2007-12-28 14:09 <DIR> d-------- C:\Programme\Avira
2007-12-28 14:09 . 2007-12-28 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-28 03:10 . 2007-09-28 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\ICQ
2007-12-27 18:22 . 2007-12-27 18:22 <DIR> d-------- C:\Programme\PixiePack Codec Pack
2007-12-27 18:21 . 2007-12-27 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2007-12-27 18:21 . 2007-12-29 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Tunebite
2007-12-27 18:21 . 2007-12-11 09:52 26,784 --a------ C:\WINDOWS\system32\drivers\tbhsd.sys
2007-12-27 17:22 . 2007-12-27 18:10 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2007-12-27 17:22 . 2007-12-27 18:10 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2007-12-21 18:35 . 2007-12-21 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Roxio
2007-12-21 18:32 . 2007-12-21 18:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared
2007-12-21 18:31 . 2007-12-29 16:51 <DIR> d-------- C:\Programme\Napster
2007-12-21 18:31 . 2007-12-21 18:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
2007-12-16 14:28 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-16 14:28 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-16 14:28 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-15 17:23 . 2007-12-15 17:23 <DIR> d-------- C:\Programme\Hamachi
2007-12-10 13:48 . 2007-12-10 13:48 <DIR> d-------- C:\Programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 15:53 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Skype
2007-12-29 15:53 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Hamachi
2007-12-29 15:52 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\OpenOffice.org2
2007-12-29 15:51 504,832 ----a-w C:\WINDOWS\system32\NeroCheck.exe
2007-12-29 15:51 365,056 ----a-w C:\WINDOWS\system32\ctfmon.exe
2007-12-29 15:51 --------- d-----w C:\Programme\iTunes
2007-12-29 15:51 --------- d-----w C:\Programme\ICQ6
2007-12-28 17:25 --------- d-----w C:\Programme\QuickTime
2007-12-28 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-28 14:00 --------- d-----w C:\Programme\Norton Security Scan
2007-12-27 17:06 --------- d-----w C:\Programme\Windows Media Connect 2
2007-12-21 17:31 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-15 16:23 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-15 13:13 5,168,772 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-12-14 00:05 --------- d-----w C:\Programme\ICQToolbar
2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-12-03 14:07 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\My Games
2007-11-26 20:25 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\dvdcss
2007-11-26 11:57 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-11-26 11:57 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_motmodem_01005.Wdf
2007-11-26 11:52 --------- d-----w C:\Programme\Motorola Phone Tools
2007-11-26 11:52 --------- d-----w C:\Programme\LiveUpdate
2007-11-26 11:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Motorola Shared
2007-11-18 15:40 --------- d-----w C:\Programme\UltraISO
2007-11-18 15:40 --------- d-----w C:\Programme\Gemeinsame Dateien\EZB Systems
2007-11-18 15:38 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Ahead
2007-11-17 16:35 --------- d-----w C:\Programme\Combined Community Codec Pack
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-09 07:21 --------- d-----w C:\Programme\iPod
2007-11-07 21:21 --------- d-----w C:\Programme\Java
2007-11-07 21:21 --------- d-----w C:\Programme\IrfanView
2007-11-04 20:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-04 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameTap
2007-11-04 17:36 --------- d-----w C:\Programme\Apple Software Update
2007-11-04 17:15 --------- d-----w C:\Programme\GameTap
2007-11-04 17:08 --------- d-----w C:\Programme\CCleaner
2007-11-04 15:19 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Media Player Classic
2007-11-04 15:03 --------- d-----w C:\Programme\PartyGaming
2007-11-04 14:22 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-11-04 14:05 --------- d-----w C:\Programme\eMule
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-03 10:23 92,064 -c--a-w C:\Dokumente und Einstellungen\1\mqdmmdm.sys
2007-04-03 10:23 9,232 -c--a-w C:\Dokumente und Einstellungen\1\mqdmmdfl.sys
2007-04-03 10:23 79,328 -c--a-w C:\Dokumente und Einstellungen\1\mqdmserd.sys
2007-04-03 10:23 66,656 -c--a-w C:\Dokumente und Einstellungen\1\mqdmbus.sys
2007-04-03 10:23 6,208 -c--a-w C:\Dokumente und Einstellungen\1\mqdmcmnt.sys
2007-04-03 10:23 5,936 -c--a-w C:\Dokumente und Einstellungen\1\mqdmwhnt.sys
2007-04-03 10:23 4,048 -c--a-w C:\Dokumente und Einstellungen\1\mqdmcr.sys
2007-04-03 10:23 25,600 -c--a-w C:\Dokumente und Einstellungen\1\usbsermptxp.sys
2007-04-03 10:23 22,768 -c--a-w C:\Dokumente und Einstellungen\1\usbsermpt.sys
2004-10-01 13:00 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9E00EC43-97C6-4F6B-AB57-71B9DFE7A1F4}]
2007-12-29 16:50 344576 --------- C:\WINDOWS\system32\awvts.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-12-29 16:51]
"pdfSaver3"="C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" [2007-12-29 16:51]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-29 16:46]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-29 16:51]
"DAEMON Tools"="F:\Programme\DAEMON Tools\daemon.exe" [2007-04-03 23:29]
"Tunebite"="F:\Programme\RapidSolution\Tunebite\Tunebite.exe" [2007-12-19 18:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2007-12-28 18:46]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" []
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2007-12-28 18:46]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2007-12-29 16:51]
"avast!"="F:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"FLMK08KB"="F:\Programme\Multimedia keyboard Utility\2.0\KbdAp32A.exe" [2006-09-03 10:09]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02]
"MMReminderService"="C:\Programme\Mindjet\MindManager 6\MMReminderService.exe" [2007-12-29 15:18]
"pdfSaver3"="" []
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2007-12-29 16:51]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2007-12-29 15:18]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2007-12-29 16:46]
"PKR Pal"="F:\Programme\Spiele\PKR\pkrpal.exe" [2007-12-18 17:17]
"QuickTime Task"="C:\Programme\QuickTime\qttask .exe" []
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-29 15:18]
"NapsterShell"="C:\Programme\Napster\napster.exe" [2007-12-29 16:46]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomlmjh]
qomlmjh.dll

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
"load"=C:\WINDOWS\system32\awvts.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\awvts

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R2 X4HSX32;X4HSX32;C:\Programme\GameTap\bin\Release\X4HSX32.Sys [2007-10-06 22:24]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
R3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys [2007-12-11 09:52]
S3 motmodem;Motorola USB CDC ACM Driver;C:\WINDOWS\system32\DRIVERS\motmodem.sys [2007-04-02 22:13]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fec2c978-649d-11dc-a2bf-00173180370f}]
\Shell\AutoRun\command - G:\SETUP.EXE


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-12-28 14:45:41 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-29 16:53:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\awvts.dll
.
Zeit der Fertigstellung: 2007-12-29 16:54:22 - machine was rebooted
.
2007-12-28 18:42:14 --- E O F ---




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:48, on 29.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\Avast4\aswUpdSv.exe
F:\Programme\Avast4\ashServ.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
F:\PROGRA~1\Avast4\ashDisp.exe
F:\Programme\Multimedia keyboard Utility\2.0\KbdAp32A.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ .exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\Analog Devices\Core\smax4pnp .exe
C:\Programme\Mindjet\MindManager 6\MMReminderService .exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4 .exe
F:\Programme\Spiele\PKR\pkrpal.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Napster\napster.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iTunes\iTunesHelper .exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Napster\napster .exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\RapidSolution\Tunebite\Tunebite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\ICQ6\ICQ .exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Avast4\ashMaiSv.exe
F:\Programme\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\1\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {9E00EC43-97C6-4F6B-AB57-71B9DFE7A1F4} - C:\WINDOWS\system32\awvts.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FLMK08KB] F:\Programme\Multimedia keyboard Utility\2.0\KbdAp32A.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PKR Pal] "F:\Programme\Spiele\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Tunebite] F:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2DC809D-D6E6-4FE1-93B9-A98FC7A70B52}: NameServer = 213.191.74.18 213.191.92.86
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: qomlmjh - qomlmjh.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Programme\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10099 bytes



.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist Windows XP Home
Volumeseriennummer: 3C78-ED16

Verzeichnis von C:\WINDOWS\system32

29.12.2007 17:07 3.030 stvwa.ini
29.12.2007 17:06 2.658 stvwa.ini2
29.12.2007 16:53 55.080 vsconfig.xml
29.12.2007 16:51 348.160 awvts.exe
29.12.2007 16:51 504.832 NeroCheck.exe
29.12.2007 16:51 15.360 ctfmon .exe
29.12.2007 16:51 365.056 ctfmon.exe.tmp
29.12.2007 16:50 155.648 NeroCheck .exe
29.12.2007 16:50 344.576 awvts.dll
29.12.2007 15:42 2.993 CONFIG.NT
29.12.2007 15:09 13.646 wpa.dbl
27.12.2007 19:02 120 Log_20071227_190231_FFC.txt
27.12.2007 19:02 120 Log_20071227_190230_620.txt
27.12.2007 19:02 122 Log_20071227_190229_1598.txt
27.12.2007 19:02 122 Log_20071227_190228_15B4.txt
27.12.2007 19:02 120 Log_20071227_190227_634.txt
27.12.2007 19:02 120 Log_20071227_190226_10B8.txt
27.12.2007 19:02 122 Log_20071227_190225_15B8.txt
27.12.2007 19:02 120 Log_20071227_190224_9FC.txt
27.12.2007 19:02 122 Log_20071227_190222_62C.txt
27.12.2007 18:58 122 Log_20071227_185812_BA0.txt
27.12.2007 18:58 122 Log_20071227_185811_EB8.txt
27.12.2007 18:58 122 Log_20071227_185810_974.txt
27.12.2007 18:58 120 Log_20071227_185809_1234.txt
27.12.2007 18:58 120 Log_20071227_185808_16A0.txt
27.12.2007 18:58 120 Log_20071227_185806_13FC.txt
27.12.2007 18:58 120 Log_20071227_185805_C20.txt
27.12.2007 18:58 120 Log_20071227_185804_A44.txt
27.12.2007 18:58 120 Log_20071227_185803_684.txt
27.12.2007 18:43 122 Log_20071227_184340_10C8.txt
27.12.2007 18:43 120 Log_20071227_184338_468.txt
27.12.2007 18:43 120 Log_20071227_184337_90C.txt
27.12.2007 18:43 120 Log_20071227_184336_DB8.txt
27.12.2007 18:43 120 Log_20071227_184335_4D4.txt
27.12.2007 18:43 120 Log_20071227_184334_F8C.txt
27.12.2007 18:43 120 Log_20071227_184333_A2C.txt
27.12.2007 18:43 120 Log_20071227_184332_F00.txt
27.12.2007 18:43 120 Log_20071227_184330_85C.txt
27.12.2007 18:26 122 Log_20071227_182630_1664.txt
27.12.2007 18:26 120 Log_20071227_182629_1350.txt
27.12.2007 18:26 122 Log_20071227_182628_1200.txt
27.12.2007 18:26 122 Log_20071227_182628_1088.txt
27.12.2007 18:26 120 Log_20071227_182627_A8C.txt
27.12.2007 18:26 122 Log_20071227_182626_1570.txt
27.12.2007 18:26 122 Log_20071227_182625_15D4.txt
27.12.2007 18:26 120 Log_20071227_182624_BE8.txt
27.12.2007 18:26 122 Log_20071227_182623_12CC.txt
27.12.2007 18:10 16.832 amcompat.tlb
27.12.2007 18:10 23.392 nscompat.tlb
13.12.2007 21:26 156.160 swreg.exe
13.12.2007 03:01 387.268 TZLog.log
04.12.2007 14:04 837.496 aswBoot.exe
04.12.2007 13:54 95.608 AVASTSS.scr
03.12.2007 00:00 18.684.536 MRT.exe
26.11.2007 11:06 100.640 FNTCACHE.DAT
13.11.2007 12:31 60.416 tzchange.exe
04.11.2007 14:57 5.686 jupdate-1.6.0_03-b05.log
04.11.2007 14:54 401.200 perfh009.dat
04.11.2007 14:54 62.480 perfc009.dat
04.11.2007 14:54 75.194 perfc007.dat
04.11.2007 14:54 415.800 perfh007.dat
04.11.2007 14:54 966.250 PerfStringBackup.INI
31.10.2007 00:19 3.590.656 mshtml.dll
29.10.2007 23:42 1.293.312 quartz.dll
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
25.10.2007 09:28 222.720 wmasf.dll
20.10.2007 01:56 200.704 ssldivx.dll
20.10.2007 01:56 1.044.480 libdivx.dll
19.10.2007 20:16 65.536 QuickTimeVR.qtx
19.10.2007 20:16 49.152 QuickTime.qts
11.10.2007 00:46 824.832 wininet.dll
11.10.2007 00:46 1.159.680 urlmon.dll
11.10.2007 00:46 232.960 webcheck.dll
11.10.2007 00:46 671.232 mstime.dll
11.10.2007 00:46 105.984 url.dll
11.10.2007 00:46 102.400 occache.dll
11.10.2007 00:46 478.208 mshtmled.dll
11.10.2007 00:46 193.024 msrating.dll
11.10.2007 00:46 1.831.424 inetcpl.cpl
11.10.2007 00:46 267.776 iertutil.dll
11.10.2007 00:46 27.648 jsproxy.dll
11.10.2007 00:46 44.544 iernonce.dll
11.10.2007 00:46 52.224 msfeedsbs.dll
11.10.2007 00:46 6.065.664 ieframe.dll
11.10.2007 00:46 459.264 msfeeds.dll
11.10.2007 00:46 63.488 icardie.dll
11.10.2007 00:46 384.512 iedkcs32.dll
11.10.2007 00:46 383.488 ieapfltr.dll
11.10.2007 00:46 230.400 ieaksie.dll
11.10.2007 00:46 153.088 ieakeng.dll
11.10.2007 00:46 214.528 dxtrans.dll
11.10.2007 00:46 132.608 extmgr.dll
11.10.2007 00:46 124.928 advpack.dll
10.10.2007 11:59 13.824 ieudinit.exe
10.10.2007 11:59 70.656 ie4uinit.exe
10.10.2007 06:46 161.792 ieakui.dll
03.10.2007 17:03 414 lame_acm.xml
28.09.2007 18:07 3.596.288 qt-dx331.dll
28.09.2007 18:05 81.920 dpl100.dll
28.09.2007 18:05 739.840 divx.dll
2050 Datei(en) 459.276.453 Bytes
0 Verzeichnis(se), 24.523.419.648 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows XP Home
Volumeseriennummer: 3C78-ED16

Verzeichnis von C:\DOKUME~1\1\LOKALE~1\Temp

29.12.2007 17:07 101.072 datfind.txt
29.12.2007 16:53 131.072 ~DFBBDF.tmp
29.12.2007 16:52 0 JET2BD8.tmp
3 Datei(en) 232.144 Bytes
0 Verzeichnis(se), 24.523.448.320 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows XP Home
Volumeseriennummer: 3C78-ED16

Verzeichnis von C:\WINDOWS

29.12.2007 16:52 0 0.log
29.12.2007 16:52 1.607.594 WindowsUpdate.log
29.12.2007 16:52 159 wiadebug.log
29.12.2007 16:52 50 wiaservc.log
29.12.2007 16:51 54.156 QTFont.qfn
29.12.2007 16:51 227 system.ini
29.12.2007 16:50 2.048 bootstat.dat
29.12.2007 16:49 32.642 SchedLgU.Txt
29.12.2007 16:26 180 setupact.log
29.12.2007 15:08 922 spupdsvc.log
28.12.2007 19:42 7.289 KB939683.log
28.12.2007 19:42 31.973 setupapi.log
28.12.2007 19:41 7.516 KB936782.log
28.12.2007 19:41 395 wmsetup.log
28.12.2007 19:41 0 setuperr.log
27.12.2007 17:41 140 ODBC.INI
27.12.2007 17:21 551 win.ini
10.12.2007 13:48 3.764 mozver.dat
26.11.2007 13:05 17.642 ModemLog_Motorola USB Modem.txt
05.11.2007 00:16 1.409 QTFont.for
04.11.2007 15:17 116 NeroDigital.ini

84 Datei(en) 17.321.350 Bytes
0 Verzeichnis(se), 24.523.444.224 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows XP Home
Volumeseriennummer: 3C78-ED16

Verzeichnis von C:\WINDOWS\temp

29.12.2007 16:51 16.384 Perflib_Perfdata_438.dat
29.12.2007 16:50 256 ZLT0564d.TMP
29.12.2007 16:50 256 ZLT06514.TMP
3 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 24.523.444.224 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Windows XP Home
Volumeseriennummer: 3C78-ED16

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
01.01.2006 00:26 65 desktop.ini
16.02.2005 15:15 401.408 isusweb.dll
11.08.2004 02:22 3.036 wmv9dmo.inf
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
10.04.2000 17:12 1.765 fhg.inf
18.11.1999 13:48 1.237 msaud.inf
8 Datei(en) 633.727 Bytes
0 Verzeichnis(se), 24.523.440.128 Bytes frei
.
.
.
Seitenanfang Seitenende
29.12.2007, 17:42
Moderator

Beiträge: 7796
#2 Teste bitte die DAtei C:\WINDOWS\system32\awvts.exe bei Virustotal
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.12.2007, 17:43
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#3 NicoC

virustotal
http://www.virustotal.com/de/

lasse ueberpruefen:


C:\WINDOWS\system32\awvts.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\NeroCheck .exe

poste die Reporte hier

----------------------------------------------------------------
1.
HijackTHis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked

Zitat

F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe

O2 - BHO: (no name) - {9E00EC43-97C6-4F6B-AB57-71B9DFE7A1F4} - C:\WINDOWS\system32\awvts.dll

O20 - Winlogon Notify: qomlmjh - qomlmjh.dll (file missing)
2.
wende den Avenger laut Anleitung an:
http://www.virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9E00EC43-97C6-4F6B-AB57-71B9DFE7A1F4}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomlmjh
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}

Files to delete:
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\awvts.exe
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\stvwa.ini2
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\NeroCheck .exe

Folders to delete:
C:\Programme\PixiePack Codec Pack
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot
3.
scanne mit vundofix
http://www.virus-protect.org/artikel/tools/vundofixx.html

4.
scanne mit ewido + poste den report
http://board.protecus.de/t8642.htm

+
poste ein neues log vom HijackThis

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Dieser Beitrag wurde am 29.12.2007 um 20:11 Uhr von Pinguin editiert.
Seitenanfang Seitenende
29.12.2007, 18:01
Moderator

Beiträge: 7796
#4 Kleine Frage am Rande, kannst du dich noch erinnern, wo du PixiePack Codec Pack installieren musstest, bzw wo es das gab?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.12.2007, 19:27
Member

Themenstarter

Beiträge: 16
#5 @raman: Nein, weiß ich leider nicht mehr.

Hier die Ergebnisse von VirusTotal:

C:\WINDOWS\system32\awvts.exe
Konnte nicht überprüft werden...

C:\WINDOWS\system32\NeroCheck.exe
Result: 16/32 (50%)
AhnLab-V3 - - -
AntiVir - - -
Authentium - - W32/Virtumonde.OQ
Avast - - -
AVG - - Dropper.Agent.GIT
BitDefender - - Trojan.Dropper.Vundo.D
CAT-QuickHeal - - -
ClamAV - - Trojan.Dropper-3531
DrWeb - - Trojan.MulDrop.10006
eSafe - - -
eTrust-Vet - - Win32/Trats.A
Ewido - - Dropper.Agent.dgo
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/Virtumonde.OQ
F-Secure - - Trojan-Dropper.Win32.Agent.dgo
Ikarus - - Trojan-Dropper.Win32.Agent.dgo
Kaspersky - - Trojan-Dropper.Win32.Agent.dgo
McAfee - - -
Microsoft - - Virus:Win32/Trats.C
NOD32v2 - - Win32/TrojanDropper.Agent.DGO
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - W32.Trats!inf
TheHacker - - -
VBA32 - - Trojan-Dropper.Win32.Agent.dgo
VirusBuster - - Win32.Trats.Gen
Webwasher-Gateway - - -
Additional information
MD5: 06c3201e6ebe9fe0cee7a2c7f7d32e1f

C:\WINDOWS\system32\ctfmon .exe
Nichts gefunden!

C:\WINDOWS\system32\ctfmon.exe.tmp
Result: 16/32 (50%)
AhnLab-V3 - - -
AntiVir - - -
Authentium - - W32/Virtumonde.OQ
Avast - - -
AVG - - Dropper.Agent.GIT
BitDefender - - Trojan.Dropper.Vundo.D
CAT-QuickHeal - - -
ClamAV - - Trojan.Dropper-3531
DrWeb - - Trojan.MulDrop.10006
eSafe - - -
eTrust-Vet - - Win32/Trats.A
Ewido - - Dropper.Agent.dgo
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/Virtumonde.OQ
F-Secure - - Trojan-Dropper.Win32.Agent.dgo
Ikarus - - Trojan-Dropper.Win32.Agent.dgo
Kaspersky - - Trojan-Dropper.Win32.Agent.dgo
McAfee - - -
Microsoft - - Virus:Win32/Trats.C
NOD32v2 - - Win32/TrojanDropper.Agent.DGO
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - W32.Trats!inf
TheHacker - - -
VBA32 - - Trojan-Dropper.Win32.Agent.dgo
VirusBuster - - Win32.Trats.Gen
Webwasher-Gateway - - -
Additional information
MD5: 69dc3849547974413a34ef2b702e7acc


C:\WINDOWS\system32\NeroCheck .exe

Nichts gefunden!

Weiteres folgt!
Seitenanfang Seitenende
29.12.2007, 19:41
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 scanne dann alle exe noch mal hier
http://virusscan.jotti.org/de/
und berichte - ich stelle sie dann mit in den Avenger zum Loeschen ein, falls es Viren sind....
ich denke, dass alles Viren sind ( die du ueberpruefen sollst) aber besser erst mal abwarten, sicher sein und dann erst mit Avenger loeschen.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.12.2007, 19:46
Member

Themenstarter

Beiträge: 16
#7 Jetzt hänge ich beim Avenger. AntiVir meldet sich beim Start folgendermaßen:
"Enthält Erkennungsmuster des SPR/Avenger-Programmes"
Wähle ich jetzt "Ignorieren" und versuche den Avenger zu starten, wird das System sehr langsam und ist kaum noch zu nutzen. Avenger startet dabei auch nach einigen Minuten nicht.
Gibts eine andere Möglichkeit, die Dinge zu löschen, statt Avenger?

Und zu HJT:
F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe
War nicht mehr zu finden, ließ sich also nicht fixen. Beim Start meldet sich AntiVir aber weiterhin deswegen. Soll ich Löschen oder Quarantäne wählen? Oder Zugriff verweigern?

O2 - BHO: (no name) - {9E00EC43-97C6-4F6B-AB57-71B9DFE7A1F4} - C:\WINDOWS\system32\awvts.dll
Lässt sich nicht fixen, taucht jedesmal wieder bei Scans durch HJT auf...

O20 - Winlogon Notify: qomlmjh - qomlmjh.dll (file missing)
Wurde scheinbar gefixt...
Seitenanfang Seitenende
29.12.2007, 20:09
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 wir machen das mal anders:

0.
stelle den Antivirus erst mal ab, damit der Avenger funktioniert - loesche dann bitte nichts vom Avenger, dort sind dann die Viren gespeichert, aber wegen den infizierten Originaldateien, ist es besser, sie erst mal im Avenger zu belassen...

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9E00EC43-97C6-4F6B-AB57-71B9DFE7A1F4}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomlmjh
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}

Files to delete:
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\awvts.exe
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\stvwa.ini2
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\NeroCheck .exe

Folders to delete:
C:\Programme\PixiePack Codec Pack
C:\Dokumente und Einstellungen\1\Anwendungsdaten\AntiSpywareBot
1.
scanne mit vundofix
http://www.virus-protect.org/artikel/tools/vundofixx.html
post hier den report

2.
scanne mit Dr.Web - bitte alles in Quarantaene - poste den report hier
http://www.virus-protect.org/cureit.html

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Dieser Beitrag wurde am 29.12.2007 um 20:16 Uhr von Pinguin editiert.
Seitenanfang Seitenende
29.12.2007, 21:05
Member

Themenstarter

Beiträge: 16
#9 Ergebnisse bei Jotti.org:

Beim Versuch, C:\WINDOWS\system32\awvts.exe hochzuladen, kommt folgende Meldung: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
Was kann das bedeuten? Die Datei selbst ist nicht zu finden, meldet sich aber über AntiVir beim Systemstart, wie beschrieben.

C:\WINDOWS\system32\NeroCheck.exe:
AVG Antivirus - Dropper.Agent.GIT gefunden
BitDefender - Trojan.Dropper.Vundo.D gefunden
ClamAV - Trojan.Dropper-3531 gefunden
CPsecure - Troj.Dropper.W32.Agent.dgo gefunden
Dr.Web - Trojan.MulDrop.10006 gefunden
F-Prot Antivirus - W32/Virtumonde.OQ gefunden
F-Secure Anti-Virus - Trojan-Dropper.Win32.Agent.dgo gefunden
Ikarus - Trojan-Dropper.Win32.Agent.dgo gefunden
Kaspersky Anti-Virus - Trojan-Dropper.Win32.Agent.dgo gefunden
NOD32 - Win32/TrojanDropper.Agent.DGO gefunden
VirusBuster - Win32.Trats.Gen gefunden
VBA32 - Trojan-Dropper.Win32.Agent.dgo gefunden

C:\WINDOWS\system32\ctfmon .exe:
Nichts gefunden!

C:\WINDOWS\system32\ctfmon.exe.tmp:
AVG Antivirus - Dropper.Agent.GIT gefunden
BitDefender - Trojan.Dropper.Vundo.D gefunden
ClamAV - Trojan.Dropper-3531 gefunden
CPsecure - Troj.Dropper.W32.Agent.dgo gefunden
Dr.Web - Trojan.MulDrop.10006 gefunden
F-Prot Antivirus - W32/Virtumonde.OQ gefunden
F-Secure Anti-Virus - Trojan-Dropper.Win32.Agent.dgo gefunden
Ikarus - Trojan-Dropper.Win32.Agent.dgo gefunden
Kaspersky Anti-Virus - Trojan-Dropper.Win32.Agent.dgo gefunden
NOD32 - Win32/TrojanDropper.Agent.DGO gefunden
VirusBuster - Win32.Trats.Gen gefunden
VBA32 - Trojan-Dropper.Win32.Agent.dgo gefunden

C:\WINDOWS\system32\NeroCheck .exe:
Nichts gefunden!
Seitenanfang Seitenende
29.12.2007, 21:42
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 nun denn, wende an, was ich im letzten Post geschrieben hab und kopiere hier die Resultate. ;)
hoffentlich geht alles gut - wegen der Originaldateien usw...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.12.2007, 22:05
Member

Themenstarter

Beiträge: 16
#11 Wo finde ich einen Report von VundoFix?

Hier der Report von Dr. Web:

smax4pnp.exe;c:\programme\analog devices\core;Trojan.MulDrop.10006;Gelöscht.;
clistart.exe;c:\programme\ati technologies\ati.ace\core-static;Trojan.MulDrop.10006;Gelöscht.;
pdvdserv.exe;c:\programme\cyberlink dvd solution\powerdvd;Trojan.MulDrop.10006;Gelöscht.;
ssbkgdupdate.exe;c:\programme\gemeinsame dateien\scansoft shared\ssbkgdupdate;Trojan.MulDrop.10006;Gelöscht.;
ituneshelper.exe;c:\programme\itunes;Trojan.MulDrop.10006;Gelöscht.;
mmreminderservice.exe;c:\programme\mindjet\mindmanager 6;Trojan.MulDrop.10006;Gelöscht.;
napster.exe;c:\programme\napster;Trojan.MulDrop.10006;Gelöscht.;
opwarese4.exe;c:\programme\scansoft\omnipagese4.0;Trojan.MulDrop.10006;Gelöscht.;
skype.exe;c:\programme\skype\phone;Trojan.MulDrop.10006;Gelöscht.;
teatimer.exe;c:\programme\spybot - search & destroy;Trojan.MulDrop.10006;Gelöscht.;
pdfsaver3.exe;c:\programme\tracker software\pdf-xchange 3\pdfsaver;Trojan.MulDrop.10006;Gelöscht.;


EDIT: Ist es normal, dass ICQ, Skype, Napster, etc. von Dr. Web gelöscht werden?
Dieser Beitrag wurde am 29.12.2007 um 22:47 Uhr von NicoC editiert.
Seitenanfang Seitenende
29.12.2007, 22:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 im ordner von Vundofix sollte der Report zu finden sein... und Avenger bringt auch ein Log, wenn der Rechner hochfaehrt.

wende combofix noch mal an und poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.12.2007, 22:40
Member

Themenstarter

Beiträge: 16
#13 Hier der ComboFix-Report:

ComboFix 07-12-21.4 - 1 2007-12-29 22:33:37.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1620 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\stvwa.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-28 bis 2007-12-29 ))))))))))))))))))))))))))))))
.

2007-12-29 21:52 . 2007-12-29 21:52 <DIR> d-------- C:\Dokumente und Einstellungen\1\DoctorWeb
2007-12-29 21:26 . 2007-12-29 21:40 <DIR> d-------- C:\VundoFix Backups
2007-12-29 21:23 . 2007-12-29 21:23 0 --a------ C:\backup.reg
2007-12-28 14:09 . 2007-12-28 14:09 <DIR> d-------- C:\Programme\Avira
2007-12-28 14:09 . 2007-12-28 14:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-28 03:10 . 2007-09-28 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\ICQ
2007-12-27 18:21 . 2007-12-27 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2007-12-27 18:21 . 2007-12-29 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Tunebite
2007-12-27 18:21 . 2007-12-11 09:52 26,784 --a------ C:\WINDOWS\system32\drivers\tbhsd.sys
2007-12-21 18:35 . 2007-12-21 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Roxio
2007-12-21 18:32 . 2007-12-21 18:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared
2007-12-21 18:31 . 2007-12-29 21:55 <DIR> d-------- C:\Programme\Napster
2007-12-21 18:31 . 2007-12-21 18:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
2007-12-16 14:28 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-16 14:28 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-16 14:28 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-15 17:23 . 2007-12-15 17:23 <DIR> d-------- C:\Programme\Hamachi
2007-12-10 13:48 . 2007-12-10 13:48 <DIR> d-------- C:\Programme\DivX

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 21:38 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Hamachi
2007-12-29 21:37 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\OpenOffice.org2
2007-12-29 21:08 --------- d-----w C:\Programme\ICQToolbar
2007-12-29 21:04 --------- d-----w C:\Programme\ICQ6
2007-12-29 20:55 --------- d-----w C:\Programme\iTunes
2007-12-29 20:47 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Skype
2007-12-28 17:25 --------- d-----w C:\Programme\QuickTime
2007-12-28 17:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-12-28 14:00 --------- d-----w C:\Programme\Norton Security Scan
2007-12-27 17:06 --------- d-----w C:\Programme\Windows Media Connect 2
2007-12-21 17:31 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-15 16:23 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-15 13:13 5,168,772 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-12-03 14:07 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\My Games
2007-11-26 20:25 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\dvdcss
2007-11-26 11:57 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-11-26 11:57 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_motmodem_01005.Wdf
2007-11-26 11:52 --------- d-----w C:\Programme\Motorola Phone Tools
2007-11-26 11:52 --------- d-----w C:\Programme\LiveUpdate
2007-11-26 11:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Motorola Shared
2007-11-18 15:40 --------- d-----w C:\Programme\UltraISO
2007-11-18 15:40 --------- d-----w C:\Programme\Gemeinsame Dateien\EZB Systems
2007-11-18 15:38 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Ahead
2007-11-17 16:35 --------- d-----w C:\Programme\Combined Community Codec Pack
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-09 07:21 --------- d-----w C:\Programme\iPod
2007-11-07 21:21 --------- d-----w C:\Programme\Java
2007-11-07 21:21 --------- d-----w C:\Programme\IrfanView
2007-11-04 20:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-04 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameTap
2007-11-04 17:36 --------- d-----w C:\Programme\Apple Software Update
2007-11-04 17:15 --------- d-----w C:\Programme\GameTap
2007-11-04 17:08 --------- d-----w C:\Programme\CCleaner
2007-11-04 15:19 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Media Player Classic
2007-11-04 15:03 --------- d-----w C:\Programme\PartyGaming
2007-11-04 14:22 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-11-04 14:05 --------- d-----w C:\Programme\eMule
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-03 10:23 92,064 -c--a-w C:\Dokumente und Einstellungen\1\mqdmmdm.sys
2007-04-03 10:23 9,232 -c--a-w C:\Dokumente und Einstellungen\1\mqdmmdfl.sys
2007-04-03 10:23 79,328 -c--a-w C:\Dokumente und Einstellungen\1\mqdmserd.sys
2007-04-03 10:23 66,656 -c--a-w C:\Dokumente und Einstellungen\1\mqdmbus.sys
2007-04-03 10:23 6,208 -c--a-w C:\Dokumente und Einstellungen\1\mqdmcmnt.sys
2007-04-03 10:23 5,936 -c--a-w C:\Dokumente und Einstellungen\1\mqdmwhnt.sys
2007-04-03 10:23 4,048 -c--a-w C:\Dokumente und Einstellungen\1\mqdmcr.sys
2007-04-03 10:23 25,600 -c--a-w C:\Dokumente und Einstellungen\1\usbsermptxp.sys
2007-04-03 10:23 22,768 -c--a-w C:\Dokumente und Einstellungen\1\usbsermpt.sys
2004-10-01 13:00 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((( snapshot@2007-12-29_16.53.50.96 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-04-06 10:36:02 49,152 -c--a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\ARPPRODUCTICON.exe
+ 2007-12-29 20:58:02 49,152 ----a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\ARPPRODUCTICON.exe
- 2007-04-06 10:36:02 49,152 -c--a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\Desktop_MindManager6_C4D150117314479F90CAEF8478756B79.exe
+ 2007-12-29 20:58:03 49,152 ----a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\Desktop_MindManager6_C4D150117314479F90CAEF8478756B79.exe
- 2007-04-06 10:36:02 49,152 -c--a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\ProgramGroup_MindMan_C4D150117314479F90CAEF8478756B79.exe
+ 2007-12-29 20:58:03 49,152 ----a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\ProgramGroup_MindMan_C4D150117314479F90CAEF8478756B79.exe
- 2007-04-06 10:36:02 49,152 -c--a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\QuickLaunch_MindMana_C4D150117314479F90CAEF8478756B79.exe
+ 2007-12-29 20:58:03 49,152 ----a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\QuickLaunch_MindMana_C4D150117314479F90CAEF8478756B79.exe
- 2007-04-06 10:36:02 49,152 -c--a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\StartMenu_MindManage_C4D150117314479F90CAEF8478756B79.exe
+ 2007-12-29 20:58:03 49,152 ----a-r C:\WINDOWS\Installer\{38CF744A-FE0E-458A-A007-59EEA37B09E4}\StartMenu_MindManage_C4D150117314479F90CAEF8478756B79.exe
+ 2007-12-29 21:36:57 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_25c.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" []
"ICQ"="C:\Programme\ICQ6\ICQ.exe" []
"DAEMON Tools"="F:\Programme\DAEMON Tools\daemon.exe" [2007-04-03 23:29]
"Tunebite"="F:\Programme\RapidSolution\Tunebite\Tunebite.exe" [2007-12-19 18:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4 .exe" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" []
"avast!"="F:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"FLMK08KB"="F:\Programme\Multimedia keyboard Utility\2.0\KbdAp32A.exe" [2006-09-03 10:09]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02]
"pdfSaver3"="" []
"PKR Pal"="F:\Programme\Spiele\PKR\pkrpal.exe" [2007-12-18 17:17]
"QuickTime Task"="C:\Programme\QuickTime\qttask .exe" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" []

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R2 X4HSX32;X4HSX32;C:\Programme\GameTap\bin\Release\X4HSX32.Sys [2007-10-06 22:24]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
R3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys [2007-12-11 09:52]
S3 motmodem;Motorola USB CDC ACM Driver;C:\WINDOWS\system32\DRIVERS\motmodem.sys [2007-04-02 22:13]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fec2c978-649d-11dc-a2bf-00173180370f}]
\Shell\AutoRun\command - G:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2007-12-28 14:45:41 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-29 22:38:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-29 22:38:46 - machine was rebooted [1]
C:\ComboFix2.txt ... 2007-12-29 16:54
.
2007-12-28 18:42:14 --- E O F ---
Seitenanfang Seitenende
30.12.2007, 11:59
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 Hallo

die proggies wurden nicht geloescht, sondern nur infizierte Teile davon....

1.
wende sdfix im abgesicherten Modus an + poste den report
http://www.virus-protect.org/artikel/tools/sdfix.html

2.
klicke sdfix im Normalmodus - wähle Sophos, scanne mit option 6 + poste den report

Gruss
Pinguin
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.01.2008, 21:20
Member

Themenstarter

Beiträge: 16
#15 Wieder zurück aus dem Neujahrsurlaub. und weiter gehts.

Hier der Scan im abgesicherten Modus:


SDFix: Version 1.122

Run by 1 on 02.01.2008 at 21:07

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 21:12:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:10,76,3b,24,f6,2d,6b,e5,c4,ac,57,96,cf,c5,48,bd,4a,41,f6,0d,46,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:a8,e6,04,11,8c,92,4f,bb,e4,9b,20,37,46,4b,1e,f8,d2,79,68,3d,d2,..
"a0"=hex:20,01,00,00,05,8f,af,02,b2,cb,28,70,0d,34,8a,ed,03,9e,40,da,fb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7b,87,8b,d5,70,45,d1,ca,71,81,e2,62,98,83,83,ad,b9,03,31,75,4b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:10,76,3b,24,f6,2d,6b,e5,c4,ac,57,96,cf,c5,48,bd,4a,41,f6,0d,46,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:a8,e6,04,11,8c,92,4f,bb,e4,9b,20,37,46,4b,1e,f8,d2,79,68,3d,d2,..
"a0"=hex:20,01,00,00,05,8f,af,02,b2,cb,28,70,0d,34,8a,ed,03,9e,40,da,fb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7b,87,8b,d5,70,45,d1,ca,71,81,e2,62,98,83,83,ad,b9,03,31,75,4b,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Sun 30 Dec 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 17 Oct 2006 304,736 A..H. --- "C:\Programme\Canon\MP Navigator 3.0\Maint.exe"
Tue 17 Oct 2006 61,440 A..H. --- "C:\Programme\Canon\MP Navigator 3.0\uinstrsc.dll"
Fri 28 Dec 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Mon 13 Nov 2006 319,456 A..H. --- "C:\Programme\Gemeinsame Dateien\Motorola Shared\MotPCSDrivers\difxapi.dll"
Mon 31 Dec 2007 5,044 A.SH. --- "C:\Dokumente und Einstellungen\1\Anwendungsdaten\Roxio\Dragon\DiscInfoCache\HL-DT-ST_DVD-ROM_GDR8164B_0L06_300_DICV018_DRGV2050108.TMP"
Mon 31 Dec 2007 4,173 A.SH. --- "C:\Dokumente und Einstellungen\1\Anwendungsdaten\Roxio\Dragon\DiscInfoCache\HL-DT-ST_DVDRAM_GSA-H10A__JL02_310_DICV018_DRGV2050108.TMP"

Finished!



Und hier im Normalmodus:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 21:21:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:10,76,3b,24,f6,2d,6b,e5,c4,ac,57,96,cf,c5,48,bd,4a,41,f6,0d,46,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:a8,e6,04,11,8c,92,4f,bb,e4,9b,20,37,46,4b,1e,f8,d2,79,68,3d,d2,..
"a0"=hex:20,01,00,00,05,8f,af,02,b2,cb,28,70,0d,34,8a,ed,03,9e,40,da,fb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7b,87,8b,d5,70,45,d1,ca,71,81,e2,62,98,83,83,ad,b9,03,31,75,4b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:10,76,3b,24,f6,2d,6b,e5,c4,ac,57,96,cf,c5,48,bd,4a,41,f6,0d,46,..
"p0"="F:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:a8,e6,04,11,8c,92,4f,bb,e4,9b,20,37,46,4b,1e,f8,d2,79,68,3d,d2,..
"a0"=hex:20,01,00,00,05,8f,af,02,b2,cb,28,70,0d,34,8a,ed,03,9e,40,da,fb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7b,87,8b,d5,70,45,d1,ca,71,81,e2,62,98,83,83,ad,b9,03,31,75,4b,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Dieser Beitrag wurde am 02.01.2008 um 21:26 Uhr von NicoC editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: