Home » Viren, Trojaner & Malware Forum » Mein PC spinnt total!! » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Mein PC spinnt total!!

29.01.2008, 15:43

FresH

Member

Beiträge: 23

#1 Hallo also erstmal die logs ...

ComboFix:

ComboFix 08-01-28.2 - Andre 2008-01-29 15:17:57.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.49.1031.18.643 [GMT 1:00]
Se ejecuta desde: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe
* Creado un nuevo punto de restauración

[color=red]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mlljg.dll
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\MULGXTA8\www.broadcaster.com
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\MULGXTA8\www.broadcaster.com\played_list.sol
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\MULGXTA8\www.broadcaster.com\video_queue.sol
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Programme\pcodec
C:\Programme\pcodec\ot.ico
C:\Programme\pcodec\ts.ico
C:\Programme\Temporary
C:\sys.txt
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\cookies.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\cgvfsjuy.dll
C:\WINDOWS\system32\gjllm.ini
C:\WINDOWS\system32\gjllm.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlljg.dll
C:\WINDOWS\system32\oxngmqns.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\shanblmq.dll
C:\WINDOWS\system32\snqmgnxo.ini
C:\WINDOWS\system32\tulsumhc.dllbox
C:\WINDOWS\system32\windows
C:\WINDOWS\system32\yujsfvgc.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
-------\nm

((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-28 18:19 . 2005-10-20 23:33 1,003,008 --a------ C:\WINDOWS\system32\esent.dll
2008-01-28 17:28 . 2008-01-28 17:29 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-01-28 17:13 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-28 17:10 . 2008-01-28 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2007-05-16 09:41 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-01-28 16:18 . 2004-07-01 23:08 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-28 16:12 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-01-28 16:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-28 16:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-27 17:40 . 2008-01-27 19:01 <DIR> d-------- C:\The Queen
2008-01-26 22:33 . 2008-01-26 22:33 163,904 --a------ C:\WINDOWS\system32\tulsumhc.dll
2008-01-24 19:36 . 2006-05-31 16:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-24 19:36 . 2008-01-29 15:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-23 00:12 . 2008-01-23 00:12 <DIR> d-------- C:\Programme\Dot1XCfg
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\uwce9
2008-01-23 00:07 . 2008-01-26 15:00 <DIR> d-------- C:\WINDOWS\system32\nGpxx01
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\guse3
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\ae1
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\Temp\gTiis19
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\Temp\cXzz9
2008-01-23 00:07 . 2008-01-23 00:07 38,400 --a------ C:\WINDOWS\system32\ssqonmm.dll
2008-01-20 21:53 . 2008-01-29 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\skypePM
2008-01-20 21:53 . 2008-01-20 21:53 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-20 21:51 . 2008-01-20 21:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 14:28 --------- d-----w C:\Programme\eScan
2008-01-28 23:07 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Skype
2008-01-28 18:23 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\teamspeak2
2008-01-28 17:20 --------- d-----w C:\Programme\IGN
2008-01-28 17:19 --------- d-----w C:\Programme\Elaborate Bytes
2008-01-28 17:18 --------- d-----w C:\Programme\Moras
2008-01-28 16:27 --------- d-----w C:\Programme\Winamp
2008-01-28 16:27 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Azureus
2008-01-28 16:13 --------- d-----w C:\Programme\Java
2008-01-28 16:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 09:52 --------- d-----w C:\Programme\World of Warcraft
2008-01-24 01:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-22 23:14 --------- d-----w C:\Programme\QuickTime
2008-01-22 23:14 --------- d-----w C:\Programme\iTunes
2008-01-22 23:13 --------- d-----w C:\Programme\Steam
2008-01-20 20:51 --------- d-----w C:\Programme\Skype
2008-01-12 20:49 --------- d-----w C:\Programme\mIRC
2007-12-10 14:56 --------- d-----w C:\Programme\Ventrilo
2007-12-01 08:34 --------- d-----w C:\Programme\Google
2006-05-22 00:01 4,948 -c--a-w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\wklnhst.dat
2005-03-16 00:52 1,314 -c--a-w C:\Programme\test.txt
2005-06-10 18:29 104 -csh--r C:\WINDOWS\system32\6940A4ABD6.sys
.

Code

<pre>
----a-w         1,820,736 2008-01-28 18:22:22  C:\Programme\eScan\ESCANWIN .EXE
----a-w           132,496 2008-01-28 18:22:18  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355}]
2008-01-29 15:33 332800 --a------ C:\WINDOWS\System32\pmkhf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}]
2008-01-23 00:07 38400 --a------ C:\WINDOWS\system32\ssqonmm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2008-01-26 22:33 163904 --a------ C:\WINDOWS\system32\tulsumhc.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ESCANWIN"="C:\Programme\eScan\ESCANWIN.EXE" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-04-28 16:19 66048 C:\WINDOWS\SOUNDMAN.EXE]
"AtiPTA"="atiptaxx.exe" [2006-02-22 01:05 344064 C:\WINDOWS\system32\atiptaxx.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-02 13:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}"= C:\WINDOWS\system32\ssqonmm.dll [2008-01-23 00:07 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqonmm]
ssqonmm.dll 2008-01-23 00:07 38400 C:\WINDOWS\system32\ssqonmm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tulsumhc]
tulsumhc.dll 2008-01-26 22:33 163904 C:\WINDOWS\system32\tulsumhc.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\pmkhf

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Andre^Startmenü^Programme^Autostart^Delta AutoLoad.lnk]
path=C:\Dokumente und Einstellungen\Andre\Startmenü\Programme\Autostart\Delta AutoLoad.lnk
backup=C:\WINDOWS\pss\Delta AutoLoad.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
C:\Programme\ATI Technologies\ATI.ACE\cli.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FirstSteps]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a--c--- 2003-04-02 13:00 208953 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
-----c--- 2003-06-17 16:14 50688 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
C:\Program Files\ICQ\NDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2005-11-10 12:03 36975 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wizard]

R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE [2004-05-11 01:53]
R2 ithsgt;ithsgt;C:\WINDOWS\System32\DRIVERS\ithsgt.sys [2005-10-04 19:23]
R2 KAVMonitorService;eScan Monitor Service;C:\PROGRA~1\eScan\avpm.exe [2003-12-24 17:16]
R2 lilsgt;lilsgt;C:\WINDOWS\System32\DRIVERS\lilsgt.sys [2005-10-04 19:23]
R2 MarxDev1;MarxDev1;C:\WINDOWS\System32\drivers\MarxDev1.sys [2001-05-28 15:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\System32\drivers\MarxDev2.sys [2001-05-28 15:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\System32\drivers\MarxDev3.sys [2001-05-28 15:30]
R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2004-10-26 00:07]
R2 Tdlpt;Tdlpt;C:\WINDOWS\System32\drivers\Tdlpt.sys [2001-10-16 11:58]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2003-04-02 13:00]
R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\System32\drivers\lccfltr.sys [2004-03-03 08:50]
R3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\System32\Drivers\Razerlow.sys [2005-08-12 09:11]
S1 atitray;atitray;C:\Programme\Radeon Omega Drivers\v2.6.87\ATI Tray Tools\atitray.sys []
S3 gsplittm;gsplittm;C:\DOKUME~1\Andre\LOKALE~1\Temp\gsplittm.sys []
S3 k600bus;Sony Ericsson 600i driver (WDM);C:\WINDOWS\System32\DRIVERS\k600bus.sys [2005-05-11 12:12]
S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\k600mdfl.sys [2005-05-11 12:12]
S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;C:\WINDOWS\System32\DRIVERS\k600mdm.sys [2005-05-11 12:12]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;C:\WINDOWS\System32\DRIVERS\k600mgmt.sys [2005-05-11 12:12]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;C:\WINDOWS\System32\DRIVERS\k600obex.sys [2005-05-11 12:12]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c14ca84-3d65-11d9-b46e-00112f7b6dd7}]
\Shell\AutoRun\command - J:\RunGame.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-01-28 16:10:35 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-18 08:22:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 15:28:53
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\tulsumhc.dllbox 19390 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tulsumhc.dll
-> C:\WINDOWS\system32\ssqonmm.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106]
-> C:\WINDOWS\system32\tulsumhc.dll
-> C:\WINDOWS\system32\ssqonmm.dll
-> C:\WINDOWS\System32\pmkhf.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\locator.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-29 15:35:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 14:35:17
.
2008-01-29 14:11:09 --- E O F ---

HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:33, on 29.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andre\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wow.place4you.org/raidplaner/
O2 - BHO: (no name) - {241EC88B-2374-45C4-9622-8AB677DAD355} - C:\WINDOWS\System32\pmkhf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - C:\WINDOWS\system32\ssqonmm.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\tulsumhc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ESCANWIN] C:\Programme\eScan\ESCANWIN.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201533011156
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} - http://activex.microgaming.com/dlhelper/version7/dlhelper.cab
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} - http://cabalonline.net/com/KALogoutComponent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ssqonmm - C:\WINDOWS\SYSTEM32\ssqonmm.dll
O20 - Winlogon Notify: tulsumhc - C:\WINDOWS\SYSTEM32\tulsumhc.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6590 bytes

Datfind:
Datenträger in Laufwerk C: ist 53_01_33
Volumeseriennummer: 74FE-15C9

Verzeichnis von C:\WINDOWS\system32

29.01.2008 15:38 22.274 tulsumhc.dllbox
29.01.2008 15:38 6.650 fhkmp.ini
29.01.2008 15:36 6.556 fhkmp.ini2
29.01.2008 15:33 332.800 pmkhf.dll
29.01.2008 03:34 325.912 FNTCACHE.DAT
29.01.2008 03:21 403.536 perfh009.dat
29.01.2008 03:21 63.934 perfc009.dat
29.01.2008 03:21 418.802 perfh007.dat
29.01.2008 03:21 76.946 perfc007.dat
29.01.2008 03:21 936.574 PerfStringBackup.INI
28.01.2008 17:13 5.628 jupdate-1.6.0_03-b05.log
26.01.2008 22:33 163.904 tulsumhc.dll
23.01.2008 00:07 38.400 ssqonmm.dll
02.01.2008 10:21 17.642.616 MRT.exe
28.10.2007 13:24 1.158 wpa.dbl
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe

Also mein PC fährt hoch, dann steht da gaaaaanz lange (ca 2-3 Minuten) Windows wird gestartet. Wenn er dann hoch gefahren ist, läuft er eine zeit lang, wirft mir dann irgendwelche fehlermeldungen auf den Schirm, mein PC fängt total an zu stocken. wenn ich die explorer.exe schließe und neu auf mache geht alles wieder für eine gewisse Zeit lang normal...

Keine Ahnung was das ist bitte um Hilfe

29.01.2008, 15:59

Pinguin

Ehrenmitglied

Beiträge: 1441

#2 FresH

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

O2 - BHO: (no name) - {241EC88B-2374-45C4-9622-8AB677DAD355} - C:\WINDOWS\System32\pmkhf.dll

O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - C:\WINDOWS\system32\ssqonmm.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\tulsumhc.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyBingo.com - {B987E7E7-5997-4330-A5F9-9FFEFC1CCFD0} - C:\Programme\PartyGaming\PartyBingo\RunBingo.exe (file missing)

O20 - Winlogon Notify: ssqonmm - C:\WINDOWS\SYSTEM32\ssqonmm.dll

O20 - Winlogon Notify: tulsumhc - C:\WINDOWS\SYSTEM32\tulsumhc.dll

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tulsumhc]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqonmm]

RenV::
C:\Programme\eScan\ESCANWIN .EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe

Folder::
C:\WINDOWS\system32\uwce9
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\guse3
C:\WINDOWS\system32\ae1
C:\Temp\gTiis19
C:\Temp\cXzz9

File::
C:\WINDOWS\system32\tulsumhc.dll
C:\WINDOWS\system32\tulsumhc.dllbox
C:\WINDOWS\system32\ssqonmm.dll
C:\WINDOWS\system32\fhkmp.ini
C:\WINDOWS\system32\fhkmp.ini2
C:\WINDOWS\system32\pmkhf.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

poste das neue log von Combofix

------

««
+ starte den Rechner neu.

------

scanne mit Bitdefender + poste den scanreport
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 16:27

FresH

Member

Themenstarter

Beiträge: 23

#3 Hier schonmal die neue Log.

ComboFix 08-01-28.2 - Andre 2008-01-29 16:08:26.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1031.18.619 [GMT 1:00]
Se ejecuta desde: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe

[color=red]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\fhkmp.ini
C:\WINDOWS\system32\fhkmp.ini2
C:\WINDOWS\system32\pmkhf.dll
C:\WINDOWS\system32\tulsumhc.dllbox

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-28 18:19 . 2005-10-20 23:33 1,003,008 --a------ C:\WINDOWS\system32\esent.dll
2008-01-28 17:28 . 2008-01-28 17:29 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-01-28 17:13 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-28 17:10 . 2008-01-28 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2007-05-16 09:41 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-01-28 16:18 . 2004-07-01 23:08 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-28 16:12 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-01-28 16:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-28 16:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-27 17:40 . 2008-01-27 19:01 <DIR> d-------- C:\The Queen
2008-01-26 22:33 . 2008-01-26 22:33 163,904 --a------ C:\WINDOWS\system32\tulsumhc.dll
2008-01-24 19:36 . 2006-05-31 16:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-24 19:36 . 2008-01-29 15:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-23 00:12 . 2008-01-23 00:12 <DIR> d-------- C:\Programme\Dot1XCfg
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\uwce9
2008-01-23 00:07 . 2008-01-26 15:00 <DIR> d-------- C:\WINDOWS\system32\nGpxx01
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\guse3
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\ae1
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\Temp\gTiis19
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\Temp\cXzz9
2008-01-23 00:07 . 2008-01-23 00:07 38,400 --a------ C:\WINDOWS\system32\ssqonmm.dll
2008-01-20 21:53 . 2008-01-29 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\skypePM
2008-01-20 21:53 . 2008-01-20 21:53 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-20 21:51 . 2008-01-20 21:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 15:14 --------- d-----w C:\Programme\eScan
2008-01-28 23:07 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Skype
2008-01-28 18:23 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\teamspeak2
2008-01-28 17:20 --------- d-----w C:\Programme\IGN
2008-01-28 17:19 --------- d-----w C:\Programme\Elaborate Bytes
2008-01-28 17:18 --------- d-----w C:\Programme\Moras
2008-01-28 16:27 --------- d-----w C:\Programme\Winamp
2008-01-28 16:27 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Azureus
2008-01-28 16:13 --------- d-----w C:\Programme\Java
2008-01-28 16:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 09:52 --------- d-----w C:\Programme\World of Warcraft
2008-01-24 01:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-22 23:14 --------- d-----w C:\Programme\QuickTime
2008-01-22 23:14 --------- d-----w C:\Programme\iTunes
2008-01-22 23:13 --------- d-----w C:\Programme\Steam
2008-01-20 20:51 --------- d-----w C:\Programme\Skype
2008-01-12 20:49 --------- d-----w C:\Programme\mIRC
2007-12-10 14:56 --------- d-----w C:\Programme\Ventrilo
2007-12-01 08:34 --------- d-----w C:\Programme\Google
2006-05-22 00:01 4,948 -c--a-w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\wklnhst.dat
2005-03-16 00:52 1,314 -c--a-w C:\Programme\test.txt
2005-06-10 18:29 104 -csh--r C:\WINDOWS\system32\6940A4ABD6.sys
.

Code

<pre>
----a-w         1,820,736 2008-01-28 18:22:22  C:\Programme\eScan\ESCANWIN .EXE
----a-w           132,496 2008-01-28 18:22:18  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
</pre>

29.01.2008, 17:08

Pinguin

Ehrenmitglied

Beiträge: 1441

#4 ja nun, du hast die Combofix nicht korrekt angewendet...lies dir noch mal alles durch, vor allem die txt-Datei unter "alle Dateien" abspeichern !!

Also: alles noch mal von vorn !!!
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 17:36

Argus

Ehrenmitglied

Beiträge: 6028

#5 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal

C:\DOKUME~1\Andre\LOKALE~1\Temp\gsplittm.sys

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“
Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus

29.01.2008, 17:37

FresH

Member

Themenstarter

Beiträge: 23

#6 Ja keine Ahnung hab es nochmal so gespeichert und in Combofix gezogen, dann mal gucken ob das nun richtig war :

ComboFix 08-01-28.2 - Andre 2008-01-29 17:15:41.3 - NTFSx86
Se ejecuta desde: C:\Dokumente und Einstellungen\Andre\Desktop\ComboFix.exe

[color=red]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cfhkj.ini
C:\WINDOWS\system32\cfhkj.ini2
C:\WINDOWS\system32\jkhfc.dll
C:\WINDOWS\system32\tulsumhc.dllbox
C:\WINDOWS\system32\windows

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-29 ))))))))))))))))))))))))))))))
.

2008-01-28 18:19 . 2005-10-20 23:33 1,003,008 --a------ C:\WINDOWS\system32\esent.dll
2008-01-28 17:28 . 2008-01-29 16:44 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-01-28 17:13 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-28 17:10 . 2008-01-28 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2008-01-28 17:09 . 2008-01-28 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-28 17:09 . 2007-05-16 09:41 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-01-28 16:18 . 2004-07-01 23:08 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-28 16:18 . 2004-07-01 23:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-28 16:12 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-01-28 16:11 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-28 16:11 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-28 16:11 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-27 17:40 . 2008-01-27 19:01 <DIR> d-------- C:\The Queen
2008-01-26 22:33 . 2008-01-26 22:33 163,904 --a------ C:\WINDOWS\system32\tulsumhc.dll
2008-01-24 19:36 . 2006-05-31 16:40 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-24 19:36 . 2008-01-29 16:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-24 19:36 . 2004-09-16 07:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-24 19:36 . 2004-09-16 06:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-23 00:12 . 2008-01-23 00:12 <DIR> d-------- C:\Programme\Dot1XCfg
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\uwce9
2008-01-23 00:07 . 2008-01-26 15:00 <DIR> d-------- C:\WINDOWS\system32\nGpxx01
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\guse3
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\WINDOWS\system32\ae1
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\Temp\gTiis19
2008-01-23 00:07 . 2008-01-23 00:07 <DIR> d-------- C:\Temp\cXzz9
2008-01-23 00:07 . 2008-01-23 00:07 38,400 --a------ C:\WINDOWS\system32\ssqonmm.dll
2008-01-20 21:53 . 2008-01-29 16:27 <DIR> d-------- C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\skypePM
2008-01-20 21:53 . 2008-01-20 21:53 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-20 21:51 . 2008-01-20 21:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2007-12-30 18:20 . 2001-08-17 13:53 3,328 --a--c--- C:\WINDOWS\system32\dllcache\qv2kux.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 16:25 --------- d-----w C:\Programme\eScan
2008-01-29 15:36 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Skype
2008-01-28 18:23 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\teamspeak2
2008-01-28 17:20 --------- d-----w C:\Programme\IGN
2008-01-28 17:19 --------- d-----w C:\Programme\Elaborate Bytes
2008-01-28 17:18 --------- d-----w C:\Programme\Moras
2008-01-28 16:27 --------- d-----w C:\Programme\Winamp
2008-01-28 16:27 --------- d-----w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\Azureus
2008-01-28 16:13 --------- d-----w C:\Programme\Java
2008-01-28 16:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 09:52 --------- d-----w C:\Programme\World of Warcraft
2008-01-24 01:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-22 23:14 --------- d-----w C:\Programme\QuickTime
2008-01-22 23:14 --------- d-----w C:\Programme\iTunes
2008-01-22 23:13 --------- d-----w C:\Programme\Steam
2008-01-20 20:51 --------- d-----w C:\Programme\Skype
2008-01-12 20:49 --------- d-----w C:\Programme\mIRC
2007-12-10 14:56 --------- d-----w C:\Programme\Ventrilo
2007-12-01 08:34 --------- d-----w C:\Programme\Google
2006-05-22 00:01 4,948 -c--a-w C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\wklnhst.dat
2005-03-16 00:52 1,314 -c--a-w C:\Programme\test.txt
2005-06-10 18:29 104 -csh--r C:\WINDOWS\system32\6940A4ABD6.sys
.

Code

<pre>
----a-w         1,820,736 2008-01-28 18:22:22  C:\Programme\eScan\ESCANWIN .EXE
----a-w           132,496 2008-01-28 18:22:18  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
</pre>

29.01.2008, 18:02

Pinguin

Ehrenmitglied

Beiträge: 1441

#7 ja nun.. wenn du die Combofix nicht korrekt anwendest... kann ich auch nix machen... DU sitzt vor dem Rechner
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 18:08

FresH

Member

Themenstarter

Beiträge: 23

#8 mehr als

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tulsumhc]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqonmm]

RenV::
C:\Programme\eScan\ESCANWIN .EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched .exe

Folder::
C:\WINDOWS\system32\uwce9
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\guse3
C:\WINDOWS\system32\ae1
C:\Temp\gTiis19
C:\Temp\cXzz9

File::
C:\WINDOWS\system32\tulsumhc.dll
C:\WINDOWS\system32\tulsumhc.dllbox
C:\WINDOWS\system32\ssqonmm.dll
C:\WINDOWS\system32\fhkmp.ini
C:\WINDOWS\system32\fhkmp.ini2
C:\WINDOWS\system32\pmkhf.dll

in eine Editor Datei zu schreiben, die aufm Desktop zu speichern unter dem namen und "alle Dateien" angeben, und mit rechtsklickt auf Combofiyx zu ziehen um dann Ausführen mit, zu klicken, dann kurz nen bild zu sehen was sich sofort wieder schließt kann ich auch nich machen. Danach starte ich ComboFix wieder der läuft da seine Paar minuten durch, startet neu und gibt mir den log. Also was mache ich denn falsch ?

29.01.2008, 18:11

Pinguin

Ehrenmitglied

Beiträge: 1441

#9 wenn man die box erneut anwendet, soll man 1 reinschreiben

--------------------------
mist .. du bist heute schon der zweite, bei dem die Combofix so fix nicht ist

man koennte ja den Avenger benutzen, werden wir auch, doch es gibt einen Registryeintrag, der entscheidend ist ..und ich bin da sehr vorsichtig mit dem Script.. wenn es schief geht, kommst du nicht mehr in windows..
der Vundo-Virus besetzt den Schluessel...
also..5 Minuten oder 10 ..ich hole den Avenger
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 18:32

Pinguin

Ehrenmitglied

Beiträge: 1441

#10 Avenger
http://www.virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

reinkopieren:

Zitat

Registry Keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\tulsumhc
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ssqonmm

folders to delete:
C:\WINDOWS\system32\uwce9
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\guse3
C:\WINDOWS\system32\ae1
C:\Temp\gTiis19
C:\Temp\cXzz9

files to delete:
C:\WINDOWS\System32\vtsqp.dll
C:\WINDOWS\system32\tulsumhc.dll
C:\WINDOWS\system32\tulsumhc.dllbox
C:\WINDOWS\system32\ssqonmm.dll
C:\WINDOWS\system32\fhkmp.ini
C:\WINDOWS\system32\fhkmp.ini2
C:\WINDOWS\system32\pmkhf.dll
C:\WINDOWS\system32\cfhkj.ini
C:\WINDOWS\system32\cfhkj.ini2

- Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

poste das neue Log vom Avenger
«
den verseuchten schlüssel hab ich erst mal aussen vor gelassen, muss erst mal raman konsultieren

»»
wend renv an - poste das Log hier
http://www.virus-protect.org/artikel/tools/renvexe.html
+
noch mal die Combofix zum Überprüfen
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 19:11

FresH

Member

Themenstarter

Beiträge: 23

#11 C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 2051)=>[Subject: Return sunrise to your life! ][Date: Wed, 25 Jul 2007 21:47:03 +0000]=>(MIME part)=>funny.zip=>funny.exe
Infiziert: Trojan.Downloader.Agent.YJF

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 2051)=>[Subject: Return sunrise to your life! ][Date: Wed, 25 Jul 2007 21:47:03 +0000]=>(MIME part)=>funny.zip=>funny.exe
Gelöscht

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 2051)=>[Subject: Return sunrise to your life! ][Date: Wed, 25 Jul 2007 21:47:03 +0000]=>(MIME part)=>funny.zip
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 2051)=>[Subject: Return sunrise to your life! ][Date: Wed, 25 Jul 2007 21:47:03 +0000]=>(MIME part)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 2051)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6253)=>[Subject: Volksbanken Raiffeisenbanken AG Intern][Date: Thu, 2 Mar 2006 14:44:22 +0100]=>(MIME part)=>deprecate.gif
Infiziert: Trojan.Spy.HTML.Bankfraud.M

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6253)=>[Subject: Volksbanken Raiffeisenbanken AG Intern][Date: Thu, 2 Mar 2006 14:44:22 +0100]=>(MIME part)=>deprecate.gif
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6253)=>[Subject: Volksbanken Raiffeisenbanken AG Intern][Date: Thu, 2 Mar 2006 14:44:22 +0100]=>(MIME part)=>deprecate.gif
Gelöscht

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6253)=>[Subject: Volksbanken Raiffeisenbanken AG Intern][Date: Thu, 2 Mar 2006 14:44:22 +0100]=>(MIME part)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6253)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6259)=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE][Date: Wed, 1 Mar 2006 00:12:31 +0100]=>(MIME part)=>beryl.gif
Infiziert: Trojan.Spy.HTML.Bankfraud.M

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6259)=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE][Date: Wed, 1 Mar 2006 00:12:31 +0100]=>(MIME part)=>beryl.gif
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6259)=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE][Date: Wed, 1 Mar 2006 00:12:31 +0100]=>(MIME part)=>beryl.gif
Gelöscht

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6259)=>[Subject: VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE][Date: Wed, 1 Mar 2006 00:12:31 +0100]=>(MIME part)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6259)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6260)=>[Subject: Es ist wichtig!][Date: Tue, 28 Feb 2006 13:35:17 +0100]=>(MIME part)=>crises.gif
Infiziert: Trojan.Spy.HTML.Bankfraud.M

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6260)=>[Subject: Es ist wichtig!][Date: Tue, 28 Feb 2006 13:35:17 +0100]=>(MIME part)=>crises.gif
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6260)=>[Subject: Es ist wichtig!][Date: Tue, 28 Feb 2006 13:35:17 +0100]=>(MIME part)=>crises.gif
Gelöscht

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6260)=>[Subject: Es ist wichtig!][Date: Tue, 28 Feb 2006 13:35:17 +0100]=>(MIME part)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx=>(message 6260)
Aktualisiert

C:\Dokumente und Einstellungen\Andre\Lokale Einstellungen\Anwendungsdaten\Identities\{21418BC6-8A26-4384-A687-5BE146D8BD32}\Microsoft\Outlook Express\Gelöschte Objekte.dbx
Aktualisieren fehlgeschlagen

C:\Programme\eScan\smtpsend.exe
Verdächtig: Generic.Malware.M!oe.94FCEE3A

C:\Programme\eScan\smtpsend.exe
Desinfektion fehlgeschlagen

C:\Programme\eScan\smtpsend.exe
Gelöscht

C:\QooBox\Quarantine\C\WINDOWS\system32\cfhkj.ini.vir
Infiziert: Trojan.Vundo.DVS

C:\QooBox\Quarantine\C\WINDOWS\system32\cfhkj.ini.vir
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\C\WINDOWS\system32\cfhkj.ini.vir
Gelöscht

C:\QooBox\Quarantine\C\WINDOWS\system32\cfhkj.ini2.vir
Infiziert: Trojan.Vundo.DVS

C:\QooBox\Quarantine\C\WINDOWS\system32\cfhkj.ini2.vir
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\C\WINDOWS\system32\cfhkj.ini2.vir
Gelöscht

C:\QooBox\Quarantine\C\WINDOWS\system32\fhkmp.ini.vir
Infiziert: Trojan.Vundo.DVS

C:\QooBox\Quarantine\C\WINDOWS\system32\fhkmp.ini.vir
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\C\WINDOWS\system32\fhkmp.ini.vir
Gelöscht

C:\QooBox\Quarantine\C\WINDOWS\system32\fhkmp.ini2.vir
Infiziert: Trojan.Vundo.DVS

C:\QooBox\Quarantine\C\WINDOWS\system32\fhkmp.ini2.vir
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\C\WINDOWS\system32\fhkmp.ini2.vir
Gelöscht

C:\QooBox\Quarantine\C\WINDOWS\system32\mlljg.dll.vir
Infiziert: Trojan.Vundo.DWK

C:\QooBox\Quarantine\C\WINDOWS\system32\mlljg.dll.vir
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\C\WINDOWS\system32\mlljg.dll.vir
Gelöscht

C:\QooBox\Quarantine\C\WINDOWS\system32\shanblmq.dll.vir
Infiziert: Trojan.Vundo.DVC

C:\QooBox\Quarantine\C\WINDOWS\system32\shanblmq.dll.vir
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\C\WINDOWS\system32\shanblmq.dll.vir
Gelöscht

C:\QooBox\Quarantine\catchme2008-01-29_152815.34.zip=>mlljg.dll
Infiziert: Trojan.Vundo.DWK

C:\QooBox\Quarantine\catchme2008-01-29_152815.34.zip=>mlljg.dll
Desinfektion fehlgeschlagen

C:\QooBox\Quarantine\catchme2008-01-29_152815.34.zip=>mlljg.dll
Gelöscht

C:\QooBox\Quarantine\catchme2008-01-29_152815.34.zip
Aktualisiert

C:\System Volume Information\_restore{C5B323B8-B688-4BBC-ADD9-5F98E86C4EF9}\RP11\A0000201.ini
Infiziert: Trojan.Vundo.DVS

C:\System Volume Information\_restore{C5B323B8-B688-4BBC-ADD9-5F98E86C4EF9}\RP11\A0000201.ini
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{C5B323B8-B688-4BBC-ADD9-5F98E86C4EF9}\RP11\A0000201.ini
Gelöscht

C:\System Volume Information\_restore{C5B323B8-B688-4BBC-ADD9-5F98E86C4EF9}\RP9\A0000147.ini
Infiziert: Trojan.Vundo.DVS

C:\System Volume Information\_restore{C5B323B8-B688-4BBC-ADD9-5F98E86C4EF9}\RP9\A0000147.ini
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{C5B323B8-B688-4BBC-ADD9-5F98E86C4EF9}\RP9\A0000147.ini
Gelöscht

C:\WINDOWS\system32\pqstv.ini
Infiziert: Trojan.Vundo.DVS

C:\WINDOWS\system32\pqstv.ini
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\pqstv.ini
Gelöscht

C:\WINDOWS\system32\pqstv.ini2
Infiziert: Trojan.Vundo.DVS

C:\WINDOWS\system32\pqstv.ini2
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\pqstv.ini2
Gelöscht

C:\WINDOWS\system32\ssqonmm.dll
Infiziert: Trojan.Vundo.DWR

C:\WINDOWS\system32\ssqonmm.dll
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\ssqonmm.dll
Löschung fehlgeschlagen

C:\WINDOWS\system32\tulsumhc.dll
Infiziert: Trojan.Vundo.DWB

C:\WINDOWS\system32\tulsumhc.dll
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\tulsumhc.dll
Löschung fehlgeschlagen

C:\WINDOWS\system32\uwce9\renamd83122.exe
Infiziert: Trojan.Generic.78149

C:\WINDOWS\system32\uwce9\renamd83122.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\uwce9\renamd83122.exe
Gelöscht

Das ist der Bericht vom Bitdefender, nun mache ich das mit dem Avenger

HIer ist er

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\inrfavup

*******************

Script file located at: qqnqgwyc

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

mh...

Dieser Beitrag wurde am 29.01.2008 um 19:21 Uhr von FresH editiert.

29.01.2008, 19:55

Pinguin

Ehrenmitglied

Beiträge: 1441

#12 hast du den Avenger angewendet ???
scheint nicht...
der war ZUERST ANZUWENDEN..........
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 19:57

FresH

Member

Themenstarter

Beiträge: 23

#13 Doch habe ich, woher sonst die Logfile ???

Aber es scheint als würde das auch nicht klappen

29.01.2008, 19:58

Pinguin

Ehrenmitglied

Beiträge: 1441

#14 bitte, wende ihn korrekt an - genau alles durchlesen !!!!!!!!!!!
auf der Seite ist es GENAU erklaert !
http://www.virus-protect.org/artikel/tools/avenger.html

zitat NICHT mit reinkopieren !

Zitat

Registry Keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\tulsumhc
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ssqonmm

folders to delete:
C:\WINDOWS\system32\uwce9
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\guse3
C:\WINDOWS\system32\ae1
C:\Temp\gTiis19
C:\Temp\cXzz9

files to delete:
C:\WINDOWS\System32\vtsqp.dll
C:\WINDOWS\system32\tulsumhc.dll
C:\WINDOWS\system32\tulsumhc.dllbox
C:\WINDOWS\system32\ssqonmm.dll
C:\WINDOWS\system32\fhkmp.ini
C:\WINDOWS\system32\fhkmp.ini2
C:\WINDOWS\system32\pmkhf.dll
C:\WINDOWS\system32\cfhkj.ini
C:\WINDOWS\system32\cfhkj.ini2

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

29.01.2008, 20:18

FresH

Member

Themenstarter

Beiträge: 23

#15 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pgbrpxmh

*******************

Script file located at: \??\C:\WINDOWS\System32\fusqbtai.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\WINDOWS\system32\uwce9 deleted successfully.
Folder C:\WINDOWS\system32\nGpxx01 deleted successfully.
Folder C:\WINDOWS\system32\guse3 deleted successfully.
Folder C:\WINDOWS\system32\ae1 deleted successfully.
Folder C:\Temp\gTiis19 deleted successfully.
Folder C:\Temp\cXzz9 deleted successfully.
File C:\WINDOWS\System32\vtsqp.dll deleted successfully.
File C:\WINDOWS\system32\tulsumhc.dll deleted successfully.
File C:\WINDOWS\system32\tulsumhc.dllbox deleted successfully.
File C:\WINDOWS\system32\ssqonmm.dll deleted successfully.

File C:\WINDOWS\system32\fhkmp.ini not found!
Deletion of file C:\WINDOWS\system32\fhkmp.ini failed!

Could not process line:
C:\WINDOWS\system32\fhkmp.ini
Status: 0xc0000034

File C:\WINDOWS\system32\fhkmp.ini2 not found!
Deletion of file C:\WINDOWS\system32\fhkmp.ini2 failed!

Could not process line:
C:\WINDOWS\system32\fhkmp.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\pmkhf.dll not found!
Deletion of file C:\WINDOWS\system32\pmkhf.dll failed!

Could not process line:
C:\WINDOWS\system32\pmkhf.dll
Status: 0xc0000034

Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{241EC88B-2374-45C4-9622-8AB677DAD355} failed!
Status: 0xc0000034

Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2} failed!
Status: 0xc0000034

Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A} failed!
Status: 0xc0000034

Registry key HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\tulsumhc deleted successfully.
Registry key HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\ssqonmm deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

MfG xD

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2