Mal wieder ein Trojan!!! Wie kann ich den entfernen?

#1 Hi,

ich habe mir schon einige Forenbeiträge durchgelesen und bin auf das programm hijackthis aufmerksam geworden. Habe mir das jetzt runtergeladen und er hat mir folgendes ausgespuckt: (Hoffentlich könnt ihr mir helfen)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:14, on 17.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe
C:\windows\system32\fhjsiqgqde.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C23D0DF-D6A4-4764-B24F-E711D170CF36} - C:\WINDOWS\System32\tuvvw.dll
O2 - BHO: (no name) - {46A13584-C07B-4B0C-BF91-3F66AD85D0C6} - C:\WINDOWS\System32\ckjbjbei.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\omwqmhrt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\fcccyax.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Windows Service Update] C:\WINDOWS\System32\livecal.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WA6PU_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe"
O4 - HKLM\..\Run: [NvCp1Do] C:\windows\smss.exe
O4 - HKLM\..\Run: [Virscanner] c:\windows\smss.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [fhjsiqgqde] c:\windows\system32\fhjsiqgqde.exe fhjsiqgqde
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [NvCp1Do] C:\windows\smss.exe
O4 - HKLM\..\RunServices: [Virscanner] c:\windows\smss.exe
O4 - HKLM\..\RunServices: [AntiVir] c:\Program Files\smss.exe
O4 - HKLM\..\RunServices: [Msnmsgr.exe] c:\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\livecal.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - HKCU\..\Run: [NvCp1Do] C:\windows\smss.exe
O4 - HKCU\..\Run: [Virscanner] c:\windows\smss.exe
O4 - HKCU\..\Run: [AntiVir] c:\Program Files\smss.exe
O4 - HKCU\..\Run: [Msnmsgr.exe] c:\lsass.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: RaConfig2500.lnk = C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Download with &FileFactory Turbo - C:\Programme\FileFactory Turbo\Plugins\IE\FileFactoryIE.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC610B64-7186-4767-947D-416FC00F62CD}: NameServer = 62.109.123.196 213.191.74.18
O20 - AppInit_DLLs: c:\windows\system32\yayyyxx.dll
O20 - Winlogon Notify: fcccyax - C:\WINDOWS\SYSTEM32\fcccyax.dll
O20 - Winlogon Notify: rqrspop - C:\WINDOWS\SYSTEM32\rqrspop.dll
O20 - Winlogon Notify: tuvvw - C:\WINDOWS\System32\tuvvw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\System32\j2291134.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 9396 bytes

#2 Versuecht ist der Vorname:
Da wäre einmal: C:\WINDOWS\System32\livecal.exe --> http://www.bleepingcomputer.com/startups/livecal.exe-18365.html



Arbeite dies mal ab, danach muss Pinguin mal nachschauen


1. Cleaner
CCleaner anwenden



2.Vundo
Nutze Vundofix: http://virus-protect.org/artikel/tools/vundofixx.html
wegen:

Zitat

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - ht*p://cdn.drivecleaner.com/installdrivecleanerstart_de.cab

3.

[u]
3.Scan [/u]
scanne mit ewido und poste den report
http://virus-protect.org/onlinescan.html


4.Combofix
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.


5.Check
Lass diese Dateien einmal bei www.virustotal.com/de prüfen
(falls nach Combofix noch vorhanden)
c:\lsass.exe
c:\Program Files\smss.exe
C:\windows\smss.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\wimnini.exe
C:\WINDOWS\System32\j2291134.exe
c:\windows\system32\fhjsiqgqde.exe
C:\WINDOWS\system32\fcccyax.dll
C:\WINDOWS\System32\livecal.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe



Now let's Pingu

#3 jennifernbo

««
1.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

dns cache reader

--------------------------------
2.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete dns cache reader

--------------------------------

3.
HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {0C23D0DF-D6A4-4764-B24F-E711D170CF36} - C:\WINDOWS\System32\tuvvw.dll

O2 - BHO: (no name) - {46A13584-C07B-4B0C-BF91-3F66AD85D0C6} - C:\WINDOWS\System32\ckjbjbei.dll (file missing)

O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\System32\omwqmhrt.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - C:\WINDOWS\system32\fcccyax.dll

O4 - HKLM\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe

O4 - HKLM\..\Run: [WA6PU_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe"
O4 - HKLM\..\Run: [NvCp1Do] C:\windows\smss.exe

O4 - HKLM\..\Run: [fhjsiqgqde] c:\windows\system32\fhjsiqgqde.exe fhjsiqgqde
O4 - HKLM\..\RunServices: [NvCp1Do] C:\windows\smss.exe
O4 - HKLM\..\RunServices: [Virscanner] c:\windows\smss.exe
O4 - HKLM\..\RunServices: [AntiVir] c:\Program Files\smss.exe
O4 - HKLM\..\RunServices: [Msnmsgr.exe] c:\lsass.exe
O4 - HKCU\..\Run: [Windows Service Update] C:\WINDOWS\System32\livecal.exe
O4 - HKCU\..\Run: [Windows Security Centers] C:\WINDOWS\System32\wimnini.exe
O4 - HKCU\..\Run: [NvCp1Do] C:\windows\smss.exe
O4 - HKCU\..\Run: [Virscanner] c:\windows\smss.exe
O4 - HKCU\..\Run: [AntiVir] c:\Program Files\smss.exe
O4 - HKCU\..\Run: [Msnmsgr.exe] c:\lsass.exe

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab

O20 - AppInit_DLLs: c:\windows\system32\yayyyxx.dll
O20 - Winlogon Notify: fcccyax - C:\WINDOWS\SYSTEM32\fcccyax.dll
O20 - Winlogon Notify: rqrspop - C:\WINDOWS\SYSTEM32\rqrspop.dll
O20 - Winlogon Notify: tuvvw - C:\WINDOWS\System32\tuvvw.dll

O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\System32\j2291134.exe (file missing)

PC neustarten

»»
4.
wende Combofix an - poste das log hier (Komplett)
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4 Hi,

ich habe euch nicht vergessen ;-) Arbeite gerade alle Punkte ab, meld mich dann später mit dem Ergebnis!

Danke schonmal,

jennifernbo

Wie viele Phasen hat denn VudoFix? Ich hänge schon super lange in Phase 1 fest (musste den laptop auch einmal neu hochfahren, weil der mal wieder einfach ausgegangen ist).

#5 lass erst mal die ganzen Proggies... arbeite nur hijackThis + Combofix ab , mehr (noch) nicht
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 Habe gerade ewido durchlaufen lassen. Das ist der Report:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Uwe Groh\Cookies\uwe groh@2o7[3].txt
Risk: Medium

Name: TrackingCookie.Adnet
Path: C:\Dokumente und Einstellungen\Uwe Groh\Cookies\uwe groh@ad.adnet[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\Dokumente und Einstellungen\Uwe Groh\Cookies\uwe groh@ad.yieldmanager[2].txt
Risk: Medium

Name: TrackingCookie.71i
Path: C:\Dokumente und Einstellungen\Uwe Groh\Cookies\uwe groh@adicqserver.71i[1].txt
Risk: Medium

Name: TrackingCookie.Euroclick
Path: C:\Dokumente und Einstellungen\Uwe Groh\Cookies\uwe groh@adopt.euroclick[2].txt
Risk: Medium

Name: Not-A-Virus.Adware.Virtumonde
Path: C:\Dokumente und Einstellungen\Uwe Groh\Lokale Einstellungen\Temp\removalfile.bat
Risk: Low

Name: Adware.WinFixer
Path: C:\QooBox\Quarantine\C\Programme\Gemeinsame Dateien\DriveCleaner Free\udcwap.exe.vir
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\QooBox\Quarantine\C\WINDOWS\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe.vir
Risk: Low

Name: Not-A-Virus.Adware.Virtumonde
Path: C:\System Volume Information\_restore{3734AE4E-2C80-4F10-9334-72E8D156E334}\RP232\A0115582.dll
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.o
Path: C:\System Volume Information\_restore{3734AE4E-2C80-4F10-9334-72E8D156E334}\RP232\A0115583.exe
Risk: Low

Name: Trojan.Small
Path: C:\System Volume Information\_restore{3734AE4E-2C80-4F10-9334-72E8D156E334}\RP238\A0127015.exe
Risk: High

Name: Trojan.Small
Path: C:\System Volume Information\_restore{3734AE4E-2C80-4F10-9334-72E8D156E334}\RP238\A0127031.exe
Risk: High

Name: Adware.WinFixer
Path: C:\System Volume Information\_restore{3734AE4E-2C80-4F10-9334-72E8D156E334}\RP241\A0134195.exe
Risk: Medium

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.10\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.m
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UDC6U_0001_D19M0709NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Adware.Virtumonde
Path: C:\WINDOWS\system32\nnnljgd.dll
Risk: Low

Werde jetzt deiner Anweisung folgen und HijackThis und Cobofix durchlaufen lassen!




Hier jetzt der Report von Combofix:

ComboFix 08-01-18.5 - Uwe Groh 2008-01-18 19:34:40.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Uwe Groh\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\DriveCleaner Free
C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\DriveCleaner Free\Logs\update.log
C:\Dokumente und Einstellungen\Uwe Groh\err.log
C:\Dokumente und Einstellungen\Uwe Groh\ResErrors.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\Programme\Gemeinsame Dateien\drivecleaner free\udcwap.exe
C:\WINDOWS\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\system32\fhjsiqgqde.dat
c:\windows\system32\fhjsiqgqde.exe
C:\WINDOWS\system32\fhjsiqgqde_nav.dat
C:\WINDOWS\system32\fhjsiqgqde_navps.dat
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\rqrspop.dll
C:\WINDOWS\system32\wvvut.bak1
C:\WINDOWS\system32\wvvut.bak2
C:\WINDOWS\system32\wvvut.ini
C:\WINDOWS\system32\wvvut.ini2
C:\WINDOWS\system32\wvvut.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DNSCACHEREADER
-------\DNSCacheReader




((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 ))))))))))))))))))))))))))))))
.

2008-01-18 17:47 . 2008-01-18 17:47 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-18 15:44 . 2008-01-18 15:44 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\Uniblue
2008-01-18 15:43 . 2008-01-18 15:43 <DIR> d-------- C:\Programme\Uniblue
2008-01-18 00:11 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-18 00:00 . 2008-01-18 00:00 <DIR> d-------- C:\Programme\CCleaner
2008-01-17 23:36 . 2008-01-17 23:36 <DIR> d-------- C:\Programme\Trend Micro
2008-01-17 10:59 . 2008-01-17 10:59 <DIR> d-------- C:\Programme\Avira
2008-01-16 19:35 . 2008-01-16 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-15 23:57 . 2008-01-17 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-15 17:35 . 2008-01-15 17:36 <DIR> d-------- C:\Programme\DVD Shrink DE
2008-01-15 17:35 . 2008-01-15 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-15 15:20 . 2008-01-15 15:20 <DIR> d-------- C:\Programme\Alcohol Soft
2008-01-15 15:15 . 2008-01-15 15:15 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-14 22:56 . 2008-01-14 22:56 66,080 --a------ C:\WINDOWS\system32\jkkii.exe
2008-01-14 16:41 . 2008-01-14 16:41 66,080 --a------ C:\WINDOWS\system32\ljhgg.exe
2008-01-13 19:51 . 2008-01-13 19:51 66,080 --a------ C:\WINDOWS\system32\xxwwt.exe
2008-01-13 19:30 . 2008-01-13 19:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-13 19:30 . 2008-01-13 19:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-13 18:41 . 2008-01-13 18:41 66,080 --a------ C:\WINDOWS\system32\rqrpo.exe
2008-01-13 16:58 . 2008-01-13 16:58 66,080 --a------ C:\WINDOWS\system32\rqron.exe
2008-01-13 14:53 . 2008-01-13 14:53 66,080 --a------ C:\WINDOWS\system32\iifec.exe
2008-01-13 00:54 . 2008-01-13 00:54 66,080 --a------ C:\WINDOWS\system32\tusrq.exe
2008-01-12 12:16 . 2008-01-12 12:16 66,080 --a------ C:\WINDOWS\system32\nnnom.exe
2008-01-12 00:04 . 2008-01-12 00:04 66,080 --a------ C:\WINDOWS\system32\ddccc.exe
2008-01-11 13:17 . 2008-01-11 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-11 13:15 . 2008-01-11 13:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-11 00:21 . 2008-01-11 00:21 <DIR> d-------- C:\Programme\Lavasoft
2008-01-10 23:52 . 2008-01-10 23:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-01-10 23:52 . 2008-01-10 23:52 48 ---hs---- C:\WINDOWS\SDE1FD05D.tmp
2008-01-10 23:31 . 2008-01-10 23:31 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-01-10 23:11 . 2008-01-16 00:18 <DIR> d-------- C:\Programme\ESTsoft
2008-01-10 23:11 . 2008-01-16 00:18 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\ESTsoft
2008-01-10 00:19 . 2008-01-10 00:19 <DIR> d-------- C:\Programme\MSECache
2008-01-09 23:58 . 2008-01-09 23:58 66,080 --a------ C:\WINDOWS\system32\nnljh.exe
2008-01-09 11:55 . 2008-01-09 11:55 66,080 --a------ C:\WINDOWS\system32\rqool.exe
2008-01-08 22:51 . 2008-01-08 22:51 66,080 --a------ C:\WINDOWS\system32\jkkhg.exe
2008-01-07 21:54 . 2008-01-07 21:54 66,080 --a------ C:\WINDOWS\system32\hgddc.exe
2008-01-07 20:28 . 2008-01-07 20:28 66,080 --a------ C:\WINDOWS\system32\ljjhg.exe
2008-01-05 10:49 . 2008-01-05 10:49 66,080 --a------ C:\WINDOWS\system32\nnnnn.exe
2008-01-04 18:17 . 2008-01-04 18:17 101 --a------ C:\WINDOWS\lexstat.ini
2008-01-04 18:14 . 2002-08-22 15:14 983,101 --a------ C:\WINDOWS\system32\LXBKGF.DLL
2008-01-04 18:14 . 2003-08-19 10:29 352,256 --a------ C:\WINDOWS\system32\LXBKUTIL.DLL
2008-01-04 18:14 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2008-01-04 18:14 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-01-04 18:14 . 2003-08-18 11:56 69,632 --a------ C:\WINDOWS\system32\lxbkscin.dll
2008-01-04 18:14 . 2003-08-18 11:56 57,344 --a------ C:\WINDOWS\system32\lxbkcinf.dll
2008-01-04 18:14 . 2003-08-18 11:56 49,152 --a------ C:\WINDOWS\system32\lxbkcoin.dll
2008-01-04 18:14 . 2002-08-29 01:48 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-01-04 18:14 . 2002-08-29 01:48 14,208 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-01-04 18:14 . 2002-09-13 11:40 266 --a------ C:\WINDOWS\system32\lxbkcoin.ini
2008-01-04 18:13 . 2008-01-04 18:38 <DIR> d-------- C:\Programme\Lexmark X1100 Series
2008-01-04 18:13 . 2003-08-19 10:49 458,752 --a------ C:\WINDOWS\system32\LXBKJSWR.DLL
2008-01-04 18:13 . 1997-10-13 20:55 299,008 --a------ C:\WINDOWS\unin0407.exe
2008-01-04 18:11 . 2008-01-04 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe Groh\WINDOWS
2008-01-04 18:11 . 2008-01-04 18:11 66,080 --a------ C:\WINDOWS\system32\qomkj.exe
2008-01-02 18:43 . 2008-01-02 18:43 66,080 --a------ C:\WINDOWS\system32\tusts.exe
2008-01-02 14:24 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-01 21:05 . 2008-01-01 21:05 66,080 --a------ C:\WINDOWS\system32\geeda.exe
2008-01-01 18:10 . 2008-01-01 18:10 66,080 --a------ C:\WINDOWS\system32\qoppp.exe
2007-12-31 23:23 . 2007-12-31 23:23 66,080 --a------ C:\WINDOWS\system32\efcca.exe
2007-12-31 19:03 . 2007-12-31 19:03 66,080 --a------ C:\WINDOWS\system32\gebca.exe
2007-12-30 21:35 . 2007-12-30 21:35 66,080 --a------ C:\WINDOWS\system32\efcbx.exe
2007-12-30 19:37 . 2007-12-30 19:37 66,080 --a------ C:\WINDOWS\system32\oppqp.exe
2007-12-30 16:26 . 2007-12-30 16:26 66,080 --a------ C:\WINDOWS\system32\qomml.exe
2007-12-30 14:26 . 2007-12-30 14:26 66,080 --a------ C:\WINDOWS\system32\ddaba.exe
2007-12-28 22:49 . 2007-12-28 22:49 66,080 --a------ C:\WINDOWS\system32\hgdax.exe
2007-12-28 18:53 . 2007-12-28 18:53 66,080 --a------ C:\WINDOWS\system32\mljgh.exe
2007-12-28 10:55 . 2007-12-28 10:55 66,080 --a------ C:\WINDOWS\system32\ljjkh.exe
2007-12-27 18:36 . 2007-12-27 18:36 66,080 --a------ C:\WINDOWS\system32\pmkhi.exe
2007-12-27 11:55 . 2007-12-27 11:55 66,080 --a------ C:\WINDOWS\system32\rqoli.exe
2007-12-27 09:43 . 2007-12-27 09:43 66,080 --a------ C:\WINDOWS\system32\jkhfe.exe
2007-12-27 09:32 . 2007-12-27 09:32 66,080 --a------ C:\WINDOWS\system32\ddaby.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-18 18:25 --------- d-----w C:\Programme\Google
2008-01-15 22:57 --------- d-----w C:\Programme\AVPersonal
2008-01-15 21:00 --------- d-----w C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\OpenOffice.org2
2008-01-08 21:59 --------- d-----w C:\Programme\ICQToolbar
2008-01-04 15:24 --------- d-----w C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\Nokia Multimedia Player
2008-01-02 13:23 --------- d-----w C:\Programme\Java
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Service Update"="C:\WINDOWS\System32\livecal.exe" [ ]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
NvCp1Do REG_SZ C:\windows\smss.exe
Virscanner REG_SZ c:\windows\smss.exe
AntiVir REG_SZ c:\Program Files\smss.exe
Msnmsgr.exe REG_SZ c:\lsass.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
S3 PAC207;VideoCAM GF112;C:\WINDOWS\System32\DRIVERS\pfc027.sys [2005-04-08 09:46]
S3 RSC4_A02;U.S. Robotics Wireless USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\RSC4USB.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 19:40:56
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-18 19:43:57 - machine was rebooted [Uwe Groh]
ComboFix-quarantined-files.txt 2008-01-18 18:43:32

#7 1.
gehe in die Registry
Start - Ausführen - regedit
Klicke dich durch zum Schlüssel:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

LOESCHEN:

NvCp1Do REG_SZ C:\windows\smss.exe
Virscanner REG_SZ c:\windows\smss.exe
AntiVir REG_SZ c:\Program Files\smss.exe
Msnmsgr.exe REG_SZ c:\lsass.exe

PC neustarten

------------------------------------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

KILLALL::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Service Update"=-

File::
c:\Program Files\smss.exe
C:\windows\smss.exe
c:\lsass.exe
C:\Dokumente und Einstellungen\Uwe Groh\Lokale Einstellungen\Temp\removalfile.bat
C:\WINDOWS\system32\jkkii.exe
C:\WINDOWS\system32\ljhgg.exe
C:\WINDOWS\system32\xxwwt.exe
C:\WINDOWS\system32\rqrpo.exe
C:\WINDOWS\system32\rqron.exe
C:\WINDOWS\system32\iifec.exe
C:\WINDOWS\system32\tusrq.exe
C:\WINDOWS\system32\nnnom.exe
C:\WINDOWS\system32\ddccc.exe
C:\WINDOWS\system32\nnljh.exe
C:\WINDOWS\system32\rqool.exe
C:\WINDOWS\system32\jkkhg.exe
C:\WINDOWS\system32\hgddc.exe
C:\WINDOWS\system32\ljjhg.exe
C:\WINDOWS\system32\nnnnn.exe
C:\WINDOWS\system32\tusts.exe
C:\WINDOWS\system32\javacpl.cpl
C:\WINDOWS\system32\geeda.exe
C:\WINDOWS\system32\qoppp.exe
C:\WINDOWS\system32\efcca.exe
C:\WINDOWS\system32\gebca.exe
C:\WINDOWS\system32\efcbx.exe
C:\WINDOWS\system32\oppqp.exe
C:\WINDOWS\system32\qomml.exe
C:\WINDOWS\system32\ddaba.exe
C:\WINDOWS\system32\hgdax.exe
C:\WINDOWS\system32\mljgh.exe
C:\WINDOWS\system32\ljjkh.exe
C:\WINDOWS\system32\pmkhi.exe
C:\WINDOWS\system32\rqoli.exe
C:\WINDOWS\system32\jkhfe.exe
C:\WINDOWS\system32\ddaby.exe

Folder::
C:\Programme\Gemeinsame Dateien\DriveCleaner Free
C:\WINDOWS\Downloaded Program Files\CONFLICT.10
C:\WINDOWS\Downloaded Program Files\CONFLICT.9
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\WINDOWS\Downloaded Program Files\CONFLICT.2
C:\WINDOWS\Downloaded Program Files\CONFLICT.3
C:\WINDOWS\Downloaded Program Files\CONFLICT.4
C:\WINDOWS\Downloaded Program Files\CONFLICT.5
C:\WINDOWS\Downloaded Program Files\CONFLICT.6
C:\WINDOWS\Downloaded Program Files\CONFLICT.7
C:\WINDOWS\Downloaded Program Files\CONFLICT.8

CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



wende combofix noch mal an - tippe 1

«
poste das neue log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 So, der neue Report:

ComboFix 08-01-18.5 - Uwe Groh 2008-01-18 20:56:54.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.89 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Uwe Groh\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Uwe Groh\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\Dokumente und Einstellungen\Uwe Groh\Lokale Einstellungen\Temp\removalfile.bat
c:\lsass.exe
c:\Program Files\smss.exe
C:\windows\smss.exe
C:\WINDOWS\system32\ddaba.exe
C:\WINDOWS\system32\ddaby.exe
C:\WINDOWS\system32\ddccc.exe
C:\WINDOWS\system32\efcbx.exe
C:\WINDOWS\system32\efcca.exe
C:\WINDOWS\system32\gebca.exe
C:\WINDOWS\system32\geeda.exe
C:\WINDOWS\system32\hgdax.exe
C:\WINDOWS\system32\hgddc.exe
C:\WINDOWS\system32\iifec.exe
C:\WINDOWS\system32\javacpl.cpl
C:\WINDOWS\system32\jkhfe.exe
C:\WINDOWS\system32\jkkhg.exe
C:\WINDOWS\system32\jkkii.exe
C:\WINDOWS\system32\ljhgg.exe
C:\WINDOWS\system32\ljjhg.exe
C:\WINDOWS\system32\ljjkh.exe
C:\WINDOWS\system32\mljgh.exe
C:\WINDOWS\system32\nnljh.exe
C:\WINDOWS\system32\nnnnn.exe
C:\WINDOWS\system32\nnnom.exe
C:\WINDOWS\system32\oppqp.exe
C:\WINDOWS\system32\pmkhi.exe
C:\WINDOWS\system32\qomml.exe
C:\WINDOWS\system32\qoppp.exe
C:\WINDOWS\system32\rqoli.exe
C:\WINDOWS\system32\rqool.exe
C:\WINDOWS\system32\rqron.exe
C:\WINDOWS\system32\rqrpo.exe
C:\WINDOWS\system32\tusrq.exe
C:\WINDOWS\system32\tusts.exe
C:\WINDOWS\system32\xxwwt.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.10
C:\WINDOWS\Downloaded Program Files\CONFLICT.10\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.3
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.4
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.5
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.6
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.7
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.8
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UDC6U_0001_D19M0709NetInstaller.inf
C:\WINDOWS\Downloaded Program Files\CONFLICT.9
C:\WINDOWS\Downloaded Program Files\CONFLICT.9\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINDOWS\system32\ddaba.exe
C:\WINDOWS\system32\ddaby.exe
C:\WINDOWS\system32\ddccc.exe
C:\WINDOWS\system32\efcbx.exe
C:\WINDOWS\system32\efcca.exe
C:\WINDOWS\system32\gebca.exe
C:\WINDOWS\system32\geeda.exe
C:\WINDOWS\system32\hgdax.exe
C:\WINDOWS\system32\hgddc.exe
C:\WINDOWS\system32\iifec.exe
C:\WINDOWS\system32\javacpl.cpl
C:\WINDOWS\system32\jkhfe.exe
C:\WINDOWS\system32\jkkhg.exe
C:\WINDOWS\system32\jkkii.exe
C:\WINDOWS\system32\ljhgg.exe
C:\WINDOWS\system32\ljjhg.exe
C:\WINDOWS\system32\ljjkh.exe
C:\WINDOWS\system32\mljgh.exe
C:\WINDOWS\system32\nnljh.exe
C:\WINDOWS\system32\nnnnn.exe
C:\WINDOWS\system32\nnnom.exe
C:\WINDOWS\system32\oppqp.exe
C:\WINDOWS\system32\pmkhi.exe
C:\WINDOWS\system32\qomml.exe
C:\WINDOWS\system32\qoppp.exe
C:\WINDOWS\system32\rqoli.exe
C:\WINDOWS\system32\rqool.exe
C:\WINDOWS\system32\rqron.exe
C:\WINDOWS\system32\rqrpo.exe
C:\WINDOWS\system32\tusrq.exe
C:\WINDOWS\system32\tusts.exe
C:\WINDOWS\system32\xxwwt.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 ))))))))))))))))))))))))))))))
.

2008-01-18 17:47 . 2008-01-18 17:47 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-18 15:44 . 2008-01-18 15:44 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\Uniblue
2008-01-18 15:43 . 2008-01-18 15:43 <DIR> d-------- C:\Programme\Uniblue
2008-01-18 00:11 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-18 00:00 . 2008-01-18 00:00 <DIR> d-------- C:\Programme\CCleaner
2008-01-17 23:36 . 2008-01-17 23:36 <DIR> d-------- C:\Programme\Trend Micro
2008-01-17 10:59 . 2008-01-17 10:59 <DIR> d-------- C:\Programme\Avira
2008-01-16 19:35 . 2008-01-16 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-15 23:57 . 2008-01-17 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-15 17:35 . 2008-01-15 17:36 <DIR> d-------- C:\Programme\DVD Shrink DE
2008-01-15 17:35 . 2008-01-15 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-15 15:20 . 2008-01-15 15:20 <DIR> d-------- C:\Programme\Alcohol Soft
2008-01-15 15:15 . 2008-01-15 15:15 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-13 19:30 . 2008-01-13 19:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-13 19:30 . 2008-01-13 19:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-11 13:17 . 2008-01-11 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-11 13:15 . 2008-01-11 13:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-11 00:21 . 2008-01-11 00:21 <DIR> d-------- C:\Programme\Lavasoft
2008-01-10 23:52 . 2008-01-10 23:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
2008-01-10 23:52 . 2008-01-10 23:52 48 ---hs---- C:\WINDOWS\SDE1FD05D.tmp
2008-01-10 23:31 . 2008-01-10 23:31 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-01-10 23:11 . 2008-01-16 00:18 <DIR> d-------- C:\Programme\ESTsoft
2008-01-10 23:11 . 2008-01-16 00:18 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\ESTsoft
2008-01-10 00:19 . 2008-01-10 00:19 <DIR> d-------- C:\Programme\MSECache
2008-01-04 18:17 . 2008-01-04 18:17 101 --a------ C:\WINDOWS\lexstat.ini
2008-01-04 18:14 . 2002-08-22 15:14 983,101 --a------ C:\WINDOWS\system32\LXBKGF.DLL
2008-01-04 18:14 . 2003-08-19 10:29 352,256 --a------ C:\WINDOWS\system32\LXBKUTIL.DLL
2008-01-04 18:14 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2008-01-04 18:14 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-01-04 18:14 . 2003-08-18 11:56 69,632 --a------ C:\WINDOWS\system32\lxbkscin.dll
2008-01-04 18:14 . 2003-08-18 11:56 57,344 --a------ C:\WINDOWS\system32\lxbkcinf.dll
2008-01-04 18:14 . 2003-08-18 11:56 49,152 --a------ C:\WINDOWS\system32\lxbkcoin.dll
2008-01-04 18:14 . 2002-08-29 01:48 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-01-04 18:14 . 2002-08-29 01:48 14,208 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-01-04 18:14 . 2002-09-13 11:40 266 --a------ C:\WINDOWS\system32\lxbkcoin.ini
2008-01-04 18:13 . 2008-01-04 18:38 <DIR> d-------- C:\Programme\Lexmark X1100 Series
2008-01-04 18:13 . 2003-08-19 10:49 458,752 --a------ C:\WINDOWS\system32\LXBKJSWR.DLL
2008-01-04 18:13 . 1997-10-13 20:55 299,008 --a------ C:\WINDOWS\unin0407.exe
2008-01-04 18:11 . 2008-01-04 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe Groh\WINDOWS
2008-01-04 18:11 . 2008-01-04 18:11 66,080 --a------ C:\WINDOWS\system32\qomkj.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-18 18:25 --------- d-----w C:\Programme\Google
2008-01-15 22:57 --------- d-----w C:\Programme\AVPersonal
2008-01-15 21:00 --------- d-----w C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\OpenOffice.org2
2008-01-08 21:59 --------- d-----w C:\Programme\ICQToolbar
2008-01-04 15:24 --------- d-----w C:\Dokumente und Einstellungen\Uwe Groh\Anwendungsdaten\Nokia Multimedia Player
2008-01-02 13:23 --------- d-----w C:\Programme\Java
.

((((((((((((((((((((((((((((( snapshot@2008-01-18_19.43.15.79 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-18 18:34:13 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-18 19:56:39 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-18 18:34:13 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-18 19:56:39 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-18 18:34:17 4,665,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-18 19:56:39 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-18 18:34:17 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-18 19:56:39 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-18 18:34:18 1,417,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-18 19:56:39 4,665,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-18 18:34:18 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-18 19:56:40 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-18 18:27:38 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-18 18:39:51 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-18 18:27:38 49,152 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-18 18:46:56 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-01-18 18:27:38 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-01-18 18:39:51 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
S2 Internet vista proces;Internet vista proces2;"C:\WINDOWS\notepad.exe" [2003-04-02 13:00]
S3 PAC207;VideoCAM GF112;C:\WINDOWS\System32\DRIVERS\pfc027.sys [2005-04-08 09:46]
S3 RSC4_A02;U.S. Robotics Wireless USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\RSC4USB.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 21:02:42
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-18 21:05:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-18 20:05:39
ComboFix2.txt 2008-01-18 18:43:57

#9 «
loesche:
C:\WINDOWS\system32\qomkj.exe
«
poste mir die 6 logs, 4 monate von jedem (ist nach datum geordnet)
http://virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Verzeichnis von C:\WINDOWS\system32

18.01.2008 21:04 2.206 wpa.dbl
18.01.2008 17:47 24.576 VundoFixSVC.exe
15.01.2008 21:59 1.643 pvdpwelg.ini
10.01.2008 12:15 154.768 FNTCACHE.DAT
08.01.2008 19:26 380.548 perfh009.dat
08.01.2008 19:26 391.244 perfh007.dat
08.01.2008 19:26 52.962 perfc009.dat
08.01.2008 19:26 63.778 perfc007.dat
08.01.2008 19:26 897.954 PerfStringBackup.INI
02.01.2008 14:23 5.686 jupdate-1.6.0_03-b05.log
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
08.09.2007 15:08 23.552 nnnljgd.dll

Alles andere ich noch mehr Monate zurück.
Verzeichnis von C:\DOKUME~1\UWEGRO~1\LOKALE~1\Temp

18.01.2008 22:04 95.386 datfind.txt
18.01.2008 21:57 245.760 ~DFBA53.tmp
2 Datei(en) 341.146 Bytes
0 Verzeichnis(se), 17.521.758.208 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54EE-8B9B

Verzeichnis von C:\WINDOWS

18.01.2008 21:04 0 0.log
18.01.2008 21:03 1.104.345 WindowsUpdate.log
18.01.2008 21:03 159 wiadebug.log
18.01.2008 21:03 50 wiaservc.log
18.01.2008 21:02 227 system.ini
18.01.2008 21:01 2.048 bootstat.dat
18.01.2008 21:01 32.592 SchedLgU.Txt
18.01.2008 18:00 644 setupapi.log
14.01.2008 21:54 116 NeroDigital.ini
14.01.2008 20:55 132 winamp.ini
13.01.2008 19:30 1.409 QTFont.for
13.01.2008 19:30 54.156 QTFont.qfn
10.01.2008 23:52 48 SDE1FD05D.tmp
04.01.2008 18:17 101 lexstat.ini
04.01.2008 00:47 2.016 ModemLog_Bluetooth Modem.txt
04.01.2008 00:47 1.998 ModemLog_Smart Link 56K Modem.txt
02.01.2008 14:18 1.838 mozver.dat
27.12.2007 11:50 754 WORDPAD.INI
02.11.2007 15:26 777 win.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54EE-8B9B

Verzeichnis von C:\DOKUME~1\UWEGRO~1\LOKALE~1\Temp

18.01.2008 22:04 95.386 datfind.txt
18.01.2008 21:57 245.760 ~DFBA53.tmp
2 Datei(en) 341.146 Bytes
0 Verzeichnis(se), 17.521.758.208 Bytes frei


Verzeichnis von C:\WINDOWS\temp

18.01.2008 21:09 409 WGANotify.settings
1 Datei(en) 409 Bytes
0 Verzeichnis(se), 17.521.754.112 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54EE-8B9B

Verzeichnis von C:\WINDOWS\temp

18.01.2008 21:09 409 WGANotify.settings
1 Datei(en) 409 Bytes
0 Verzeichnis(se), 17.521.754.112 Bytes frei

Verzeichnis von C:\WINDOWS\Downloaded Program Files

HIER WAR NIX VON DEN LETZTEN VIER MONTEN!!!

#11 -
wende complet.bat an - poste alles
http://virus-protect.org/completbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Habe zu spät gesehen, dass es alles drin ist. Sorry ;-)


Bei C:\ war nix!

#13 ich hab editiert ...
poste noch die complet.bat (alles)
http://virus-protect.org/completbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 .
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54EE-8B9B

Verzeichnis von C:\WINDOWS\system32

18.01.2008 21:04 2.206 wpa.dbl
18.01.2008 17:47 24.576 VundoFixSVC.exe
15.01.2008 21:59 1.643 pvdpwelg.ini
10.01.2008 12:15 154.768 FNTCACHE.DAT
08.01.2008 19:26 380.548 perfh009.dat
08.01.2008 19:26 391.244 perfh007.dat
08.01.2008 19:26 52.962 perfc009.dat
08.01.2008 19:26 63.778 perfc007.dat
08.01.2008 19:26 897.954 PerfStringBackup.INI
02.01.2008 14:23 5.686 jupdate-1.6.0_03-b05.log
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
08.09.2007 15:08 23.552 nnnljgd.dll
10.08.2007 20:56 93.128 ElbyCDIO.dll
09.07.2007 13:12 937.984 suxyb.tmp2
09.07.2007 12:55 1.054.619 mxcabbba.ini
09.07.2007 07:34 1.054.482 lpjoqqkc.ini
08.07.2007 10:19 1.054.361 wforbpfk.ini
07.07.2007 19:25 1.054.242 jwrlhgmc.ini
07.07.2007 16:25 1.054.122 kdeevpfy.ini
07.07.2007 13:34 1.012.441 rvwixsqj.ini
07.07.2007 13:34 1.012.452 avytllta.ini
06.07.2007 22:04 1.046.814 iebulcpb.ini
03.07.2007 16:44 44.544 ALZZip.BIN
03.07.2007 16:44 64.000 ALZALZ.BIN
02.07.2007 19:32 999.567 umpemban.ini
02.07.2007 17:33 999.806 nxxcqojk.ini
02.07.2007 17:30 999.817 fxsajilq.ini
01.07.2007 15:46 345 rjcihovs.ini
01.07.2007 11:44 1.000.836 bfyflxsk.ini
01.07.2007 11:28 1.959.598 psmosrmh.ini
30.06.2007 19:16 1.000.646 onwrelxb.ini
30.06.2007 19:10 1.000.587 uuxrvuvg.ini
30.06.2007 15:38 987.264 rsyrblte.ini
30.06.2007 11:33 987.144 whxjdrxe.ini
29.06.2007 19:20 987.024 kldtndcj.ini
29.06.2007 19:14 986.965 liphqxdy.ini
29.06.2007 14:52 986.845 mkvfxsny.ini
28.06.2007 12:42 465 rhmpwaoh.ini
28.06.2007 11:44 148.992 nsesetup.dll
28.06.2007 11:44 163.840 nmwcdcocls.dll
27.06.2007 15:08 919.042 thkwrjxo.ini
27.06.2007 13:59 917.878 ystxkivf.ini
27.06.2007 03:54 917.759 vmkxjoxk.ini
26.06.2007 20:49 929.846 ufifovok.ini
26.06.2007 14:16 915.952 whawpwlv.ini
25.06.2007 20:51 915.966 xhhmrliy.ini
25.06.2007 14:55 915.787 gxnselqn.ini
24.06.2007 08:27 909.802 euxqmsfa.ini
23.06.2007 13:14 909.442 oihtfadv.ini
23.06.2007 09:10 909.322 rdxyrqwo.ini
22.06.2007 13:35 909.023 jpyagfyo.ini
21.06.2007 14:51 923.269 tytlfitr.ini
21.06.2007 14:51 923.280 qijniski.ini
20.06.2007 14:43 922.910 kmlygcmb.ini
18.06.2007 04:03 901.197 suxyb.tmp
17.06.2007 18:12 922.130 ywvafgdy.ini
17.06.2007 17:05 921.948 soybcqgq.ini
15.06.2007 17:04 923.810 npevxorj.ini
15.06.2007 17:04 933.063 qxkswcrs.ini
14.06.2007 14:01 932.884 itwwkoyx.ini
13.06.2007 17:04 932.584 alyxowcm.ini
12.06.2007 16:55 1.713.701 wtakutfc.ini
11.06.2007 15:28 1.758.680 vtldocxw.ini
21.05.2007 21:39 25.065 wmpscheme.xml
21.05.2007 21:39 16.832 amcompat.tlb
21.05.2007 21:39 23.392 nscompat.tlb
21.05.2007 21:34 35 spdwnwxp.log
21.05.2007 20:56 90 spupdwxp.log
15.05.2007 11:07 276 MRT.INI
06.05.2007 15:15 0 h323log.txt
06.05.2007 15:12 1.409 tmpDE71D.FOT
06.05.2007 15:12 1.409 tmp3E71D.FOT
06.05.2007 15:12 1.409 tmp5271D.FOT
06.05.2007 14:30 237 $winnt$.inf
06.05.2007 14:21 2.951 CONFIG.NT

#15 HM... stopp, doch nicht alles nur bis Juni 2007
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/