TR/Vundo.gen in System32/ssqpm.dll

#0
17.01.2008, 18:10
...neu hier

Beiträge: 4
#1 Hallo,

ich hoffe mir kann hier jemand helfen. Habe mir irgendwie den

TR/Vundo,Gen eigefangen und werde dieses nervige Teil nicht mehr los.
Habe bereits einige Anleitungen gelesen und auch in der Form versucht abzuarbeiten, aber ohne Erfolg.

VundoFix V6.7.7 findet keine infizierte Datei. Aber dennoch meldet mein AntiVir, das die Datei infiziert ist.

Da meine Computerkenntnisse nicht alzu dolle sind, habe ich es noch nicht geschafft so nen Logfile zu erstellen.

Also wenn mir da einer helfen könnte wär das ne richtig feine Sache.

Hab das mit dem Logfile nochmal probiert.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:13:49, on 16.01.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\1153153347\ee\AOLSoftware.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
M:\Casi\needed Downloads\Antivirus\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1153153347\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153060336592
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153063810576
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6BA2D05-7B35-4B2C-8DEB-4E063373996A}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAC9D33C-A9FD-4A5D-B4FE-134B9E0A9629}: NameServer = 213.191.92.87 213.191.74.19
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://www.punk-disco.com/Covers/How-Ruc-7-A.jpg

--
End of file - 6604 bytes

greeeez caki
Dieser Beitrag wurde am 17.01.2008 um 18:31 Uhr von caki editiert.
Seitenanfang Seitenende
17.01.2008, 18:53
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 poste bitte das log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.01.2008, 19:31
...neu hier

Themenstarter

Beiträge: 4
#3 Hi,

erst mal danke für deine schnelle Antwort.

Hier iss der Logfile:

ComboFix 08-01-17.5 - Casi 2008-01-17 19:20:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.197 [GMT 1:00]
ausgeführt von:: M:\Casi\needed Downloads\Antivirus\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\avhysgjk.ini
C:\WINDOWS\system32\cnnarjeq.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\mpqss.ini2
C:\WINDOWS\system32\rbywrtbi.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-17 bis 2008-01-17 ))))))))))))))))))))))))))))))
.

2008-01-17 19:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 22:05 . 2008-01-15 22:05 84 --a------ C:\WINDOWS\system32\netload.tff
2008-01-15 21:47 . 2008-01-15 21:47 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-15 21:31 . 2008-01-15 21:47 <DIR> d-------- C:\VundoFix Backups
2008-01-13 20:55 . 2008-01-13 20:55 <DIR> d-------- C:\Programme\Avira
2008-01-13 20:55 . 2008-01-13 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-13 15:26 . 2008-01-13 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\Grisoft
2008-01-13 15:26 . 2008-01-13 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-01-13 15:26 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-29 18:33 . 2007-12-29 18:33 314,752 --------- C:\WINDOWS\system32\ssqpm.dll
2007-12-28 20:34 . 2007-12-28 20:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 20:03 --------- d-----w C:\Programme\McAfee.com
2008-01-13 19:57 --------- d-----w C:\Programme\McAfee
2008-01-13 18:01 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2008-01-13 14:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-13 08:14 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-01-12 13:01 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\uTorrent
2008-01-09 16:48 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\.purple
2008-01-05 08:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 08:31 --------- d-----w C:\Programme\Steinberg
2007-12-26 12:28 --------- d-----w C:\Programme\uTorrent
2007-12-13 10:21 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\Snapfish
2007-11-30 20:55 --------- d-----w C:\Programme\SopCast
2007-11-24 12:02 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\DesktopPlayer
2007-11-17 13:54 --------- d-----w C:\Programme\directx
2007-09-30 10:36 270,336 ----a-w C:\Programme\Uninstall.exe
2007-04-30 10:30 24,192 ----a-w C:\Dokumente und Einstellungen\Casi\usbsermptxp.sys
2007-04-30 10:30 22,768 ----a-w C:\Dokumente und Einstellungen\Casi\usbsermpt.sys
2007-02-12 17:49 16,368 ----a-w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00E87B3A-BD5C-4562-A4C5-B5BA926F6636}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{46E4C63E-8946-4DD8-AC3A-EB567384B2B1}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A1F29AE-539C-417A-AC45-EED2A6498852}]
2007-12-29 18:33 314752 --------- C:\WINDOWS\System32\ssqpm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{571FCECB-EB6C-4BBD-999C-B63F57BA6CE9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{89418EC6-78F3-41EC-B750-A8BE13B38566}]
C:\WINDOWS\System32\mfc4232.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B18C8DF9-91DF-4EDB-83D7-3E150A6FA67C}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CEFACD99-2657-473A-BE1E-627CDF1C9185}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2003-02-21 14:04 495616]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 13:42 70952]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2005-09-22 18:29 303104]
"MCUpdateExe"="C:\PROGRA~1\mcafee.com\agent\mcupdate.exe" [2006-01-11 12:05 212992]
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-08-22 14:31 1327104]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1153153347\ee\AOLSoftware.exe" [2006-11-17 14:16 50736]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-13 21:48 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 11:00 13312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\ssqpm.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
"NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\System32\DRIVERS\aadev.sys [2003-02-21 14:04]
R2 ousbehci;%OWC_USBEHCD.DeviceDesc%;C:\WINDOWS\System32\Drivers\ousbehci.sys [2002-04-15 02:30]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmdsloe.sys [2003-03-10 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2003-03-10 01:00]
R3 ews88mt;EWS88 WDM Audio;C:\WINDOWS\System32\drivers\ews88wdm.sys [2003-08-18 13:30]
R3 FDSSBASE;AVM FRITZ!Card DSL SL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdssbase.sys [2003-03-10 01:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2003-02-21 14:04]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-17 19:26:11
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\mpqss.ini2 443 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.0000]
-> C:\WINDOWS\System32\ssqpm.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2600.0000]
-> C:\WINDOWS\System32\ssqpm.dll
.
Zeit der Fertigstellung: 2008-01-17 19:28:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-17 18:28:23
Seitenanfang Seitenende
17.01.2008, 22:23
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 0.
lade dr.web - noch nicht anwenden - erst, wenn du im abgesicherten Modus bist
http://www.virus-protect.org/cureit.html

«
HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

Script verändert (29.01.2009)

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00E87B3A-BD5C-4562-A4C5-B5BA926F6636}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{46E4C63E-8946-4DD8-AC3A-EB567384B2B1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A1F29AE-539C-417A-AC45-EED2A6498852}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{571FCECB-EB6C-4BBD-999C-B63F57BA6CE9}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{89418EC6-78F3-41EC-B750-A8BE13B38566}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B18C8DF9-91DF-4EDB-83D7-3E150A6FA67C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CEFACD99-2657-473A-BE1E-627CDF1C9185}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00

File::
C:\WINDOWS\System32\mfc4232.dll
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\System32\ssqpm.dll


4.
boote in den abgesicherten Modus -


5.
CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


6.
wende combofix an - tippe 1

7.
scanne mit dr.web

8.
poste dann den neuen Report von Combofix hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
19.01.2008, 13:30
...neu hier

Themenstarter

Beiträge: 4
#5 Hi,

erst mal danke für deine prompte Hilfe. Habe alles nach deiner Anleitung durchgeführt. Der Scan mit Dr.Web zeigte keine Viren mehr an !!!
Bis jetzt piebst auch mein Antivir mal nicht mehr. Ich hoffe ich bin dieses lästige Ding jetzt los.

DANKE

Hier der neue Logfile:

ComboFix 08-01-17.5 - Casi 2008-01-19 13:03:57.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.371 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Casi\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Casi\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINDOWS\System32\mfc4232.dll
C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\System32\ssqpm.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mpqss.ini
C:\WINDOWS\system32\mpqss.ini2
C:\WINDOWS\System32\ssqpm.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-19 bis 2008-01-19 ))))))))))))))))))))))))))))))
.

2008-01-18 19:24 . 2008-01-18 19:24 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\McAfee.com Personal Firewall
2008-01-17 19:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 22:05 . 2008-01-15 22:05 84 --a------ C:\WINDOWS\system32\netload.tff
2008-01-15 21:47 . 2008-01-15 21:47 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-15 21:31 . 2008-01-15 21:47 <DIR> d-------- C:\VundoFix Backups
2008-01-13 20:59 . 2002-03-13 07:50 23,296 --a------ C:\WINDOWS\system32\drivers\NaiFiltr.sys
2008-01-13 20:57 . 2004-09-28 09:43 114,688 --a------ C:\WINDOWS\system32\mclsp.dll
2008-01-13 20:57 . 2004-09-28 12:01 86,016 --a------ C:\WINDOWS\system32\mcrtl32.dll
2008-01-13 20:55 . 2008-01-13 20:55 <DIR> d-------- C:\Programme\Avira
2008-01-13 20:55 . 2008-01-13 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-13 15:26 . 2008-01-13 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\Grisoft
2008-01-13 15:26 . 2008-01-13 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-01-13 15:26 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-28 20:34 . 2007-12-28 20:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 20:03 --------- d-----w C:\Programme\McAfee.com
2008-01-13 19:57 --------- d-----w C:\Programme\McAfee
2008-01-13 18:01 --------- d-----w C:\Programme\Gemeinsame Dateien\GTK
2008-01-13 14:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-13 08:14 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2008-01-12 13:01 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\uTorrent
2008-01-09 16:48 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\.purple
2008-01-05 08:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-05 08:31 --------- d-----w C:\Programme\Steinberg
2007-12-26 12:28 --------- d-----w C:\Programme\uTorrent
2007-12-13 10:21 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\Snapfish
2007-11-30 20:55 --------- d-----w C:\Programme\SopCast
2007-11-24 12:02 --------- d-----w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\DesktopPlayer
2007-09-30 10:36 270,336 ----a-w C:\Programme\Uninstall.exe
2007-04-30 10:30 24,192 ----a-w C:\Dokumente und Einstellungen\Casi\usbsermptxp.sys
2007-04-30 10:30 22,768 ----a-w C:\Dokumente und Einstellungen\Casi\usbsermpt.sys
2007-02-12 17:49 16,368 ----a-w C:\Dokumente und Einstellungen\Casi\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-01-17_19.27.57.74 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-17 18:20:24 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-19 12:03:40 6,115,328 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-17 18:20:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-19 12:03:41 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2005-01-28 11:44:28 294,912 ----a-w C:\WINDOWS\system32\blackbox.dll
+ 2002-12-11 16:09:20 232,960 ----a-w C:\WINDOWS\system32\blackbox.dll
- 2005-01-28 11:44:28 164,864 ----a-w C:\WINDOWS\system32\cewmdm.dll
+ 2001-08-18 10:00:00 179,712 ----a-w C:\WINDOWS\system32\cewmdm.dll
- 2008-01-17 18:20:38 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-19 12:03:50 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2003-01-10 15:13:04 33,588 ----a-w C:\WINDOWS\system32\drivers\wanatw4.sys
+ 2003-01-10 21:13:04 33,588 ----a-w C:\WINDOWS\system32\drivers\wanatw4.sys
- 2005-01-28 11:44:28 258,296 ----a-w C:\WINDOWS\system32\drmclien.dll
+ 2002-12-11 16:50:18 301,712 ----a-w C:\WINDOWS\system32\drmclien.dll
- 2005-01-28 11:44:28 96,768 ----a-w C:\WINDOWS\system32\drmstor.dll
+ 2002-12-11 15:34:42 82,432 ----a-w C:\WINDOWS\system32\drmstor.dll
- 2005-01-28 11:44:28 502,272 ----a-w C:\WINDOWS\system32\drmv2clt.dll
+ 2002-12-11 16:09:22 678,912 ----a-w C:\WINDOWS\system32\drmv2clt.dll
- 2005-01-28 11:44:28 6,656 ----a-w C:\WINDOWS\system32\laprxy.dll
+ 2002-12-11 13:16:58 6,656 ----a-w C:\WINDOWS\system32\laprxy.dll
- 2005-01-28 11:44:28 96,768 ----a-w C:\WINDOWS\system32\logagent.exe
+ 2002-12-11 13:04:20 81,408 ----a-w C:\WINDOWS\system32\logagent.exe
+ 2006-06-22 11:44:38 128,648 ----a-w C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe
- 2005-01-28 11:44:28 142,336 ----a-w C:\WINDOWS\system32\msnetobj.dll
+ 2002-12-11 16:09:22 253,952 ----a-w C:\WINDOWS\system32\msnetobj.dll
- 2005-01-28 11:44:28 173,568 ----a-w C:\WINDOWS\system32\MsPMSP.dll
+ 2001-08-18 10:00:00 175,104 ----a-w C:\WINDOWS\system32\MsPMSP.dll
- 2005-01-28 11:44:28 364,784 ----a-w C:\WINDOWS\system32\MSSCP.dll
+ 2001-08-18 10:00:00 245,760 ----a-w C:\WINDOWS\system32\MSSCP.dll
- 2005-01-28 11:44:28 315,904 ----a-w C:\WINDOWS\system32\MSWMDM.dll
+ 2001-08-18 10:00:00 155,648 ----a-w C:\WINDOWS\system32\MSWMDM.dll
- 2005-01-28 11:44:28 221,184 ----a-w C:\WINDOWS\system32\qasf.dll
+ 2002-12-11 15:34:40 241,664 ----a-w C:\WINDOWS\system32\qasf.dll
- 2005-01-28 11:44:28 396,528 ----a-w C:\WINDOWS\system32\wmadmod.dll
+ 2002-12-11 17:11:02 410,248 ----a-w C:\WINDOWS\system32\wmadmod.dll
- 2005-01-28 11:44:28 716,288 ----a-w C:\WINDOWS\system32\wmadmoe.dll
+ 2002-12-11 15:34:40 670,208 ----a-w C:\WINDOWS\system32\wmadmoe.dll
- 2005-01-28 11:44:28 224,768 ----a-w C:\WINDOWS\system32\wmasf.dll
+ 2002-12-11 15:23:48 218,112 ----a-w C:\WINDOWS\system32\wmasf.dll
- 2005-01-28 11:44:28 28,160 ----a-w C:\WINDOWS\system32\WMDMLOG.dll
+ 2001-08-18 10:00:00 22,528 ----a-w C:\WINDOWS\system32\WMDMLOG.dll
- 2005-01-28 11:44:28 33,792 ----a-w C:\WINDOWS\system32\WMDMPS.dll
+ 2001-08-18 10:00:00 20,480 ----a-w C:\WINDOWS\system32\WMDMPS.dll
- 2005-01-28 11:44:28 150,016 ----a-w C:\WINDOWS\system32\wmidx.dll
+ 2002-12-11 13:16:58 143,360 ----a-w C:\WINDOWS\system32\wmidx.dll
- 2005-01-28 11:44:28 1,027,072 ----a-w C:\WINDOWS\system32\wmnetmgr.dll
+ 2002-12-11 15:23:58 981,504 ----a-w C:\WINDOWS\system32\wmnetmgr.dll
- 2005-01-28 11:44:28 774,904 ----a-w C:\WINDOWS\system32\wmsdmod.dll
+ 2002-12-11 17:12:50 760,968 ----a-w C:\WINDOWS\system32\wmsdmod.dll
- 2005-01-28 11:44:28 1,119,744 ----a-w C:\WINDOWS\system32\wmsdmoe2.dll
+ 2002-12-11 15:34:40 1,111,040 ----a-w C:\WINDOWS\system32\wmsdmoe2.dll
- 2005-01-28 11:44:28 413,944 ----a-w C:\WINDOWS\system32\wmspdmod.dll
+ 2002-12-11 17:07:54 486,536 ----a-w C:\WINDOWS\system32\wmspdmod.dll
- 2005-01-28 11:44:28 940,544 ----a-w C:\WINDOWS\system32\wmspdmoe.dll
+ 2002-12-11 15:34:40 892,416 ----a-w C:\WINDOWS\system32\wmspdmoe.dll
- 2005-01-28 11:44:28 2,370,296 ----a-w C:\WINDOWS\system32\wmvcore.dll
+ 2002-12-11 17:02:38 2,058,888 ----a-w C:\WINDOWS\system32\wmvcore.dll
- 2005-01-28 11:44:28 895,736 ----a-w C:\WINDOWS\system32\wmvdmod.dll
+ 2002-12-11 17:10:00 816,264 ----a-w C:\WINDOWS\system32\wmvdmod.dll
- 2005-01-28 11:44:28 1,003,008 ----a-w C:\WINDOWS\system32\wmvdmoe2.dll
+ 2002-12-11 15:34:40 997,888 ----a-w C:\WINDOWS\system32\wmvdmoe2.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2003-02-21 14:04 495616]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 13:42 70952]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2005-09-22 18:29 303104]
"MCUpdateExe"="C:\PROGRA~1\mcafee.com\agent\mcupdate.exe" [2006-01-11 12:05 212992]
"MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-08-22 14:31 1327104]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1153153347\ee\AOLSoftware.exe" [2006-11-17 14:16 50736]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-13 21:48 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 11:00 13312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\ssqpm.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
"NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\System32\DRIVERS\aadev.sys [2003-02-21 14:04]
R2 ousbehci;%OWC_USBEHCD.DeviceDesc%;C:\WINDOWS\System32\Drivers\ousbehci.sys [2002-04-15 02:30]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmdsloe.sys [2003-03-10 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2003-03-10 01:00]
R3 ews88mt;EWS88 WDM Audio;C:\WINDOWS\System32\drivers\ews88wdm.sys [2003-08-18 13:30]
R3 FDSSBASE;AVM FRITZ!Card DSL SL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdssbase.sys [2003-03-10 01:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2003-02-21 14:04]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 13:08:40
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-19 13:10:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-19 12:10:37
ComboFix2.txt 2008-01-17 18:28:58
Seitenanfang Seitenende
19.01.2008, 16:08
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 caki

sieht gut aus - ich denke, es ist alles wieder im grünen Bereich
Alles Gute ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
19.01.2008, 18:14
...neu hier

Themenstarter

Beiträge: 4
#7 DANKE für die Hilfe

greeez caki
Seitenanfang Seitenende
19.01.2008, 19:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 OTMoveIt.exe
Download OTMoveIt zum Desktop
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes
__________
MfG Argus
Seitenanfang Seitenende