TR/Vundo.Gen lässt sich nicht löschen

#16 Log von RVAXO

---RVAXO.exe Updated: 2008-02-02---first run---
Files found:

Uninstallers:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------



RegSearch

Log fcccaww

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-02 23:11:15 for strings:
; 'fcccaww'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fcccaww]

; End Of The Log...


{98663e21-9cce-4cf6-863c-911a9523a66f}

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-02 23:17:59 for strings:
; '{98663e21-9cce-4cf6-863c-911a9523a66f}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98663E21-9CCE-4CF6-863C-911A9523A66F}]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98663E21-9CCE-4CF6-863C-911A9523A66F}\iexplore]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
; Contents of value:
;
1 2 ^¯bÈ

"{98663E21-9CCE-4CF6-863C-911A9523A66F} {00000000-0000-0000-C000-000000000046} 0x401"=hex:01,\
00,00,00,31,00,32,00,04,13,5e,1d,af,62,c8,01

; End Of The Log...

#17 ««
Gehe in die Registry
Start - Ausführen - regedit
suchen - reinkopieren:{98663E21-9CCE-4CF6-863C-911A9523A66F}

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
;
1 2 ^¯bÈ

"{98663E21-9CCE-4CF6-863C-911A9523A66F} - löschen


««
erstelle eine neue cfscript.txt (Änderung der andern cfscript zulassen) - abspeichern unter "alle Dateien"
dann ziehe die txt-Datei wieder auf das Combofix-Symbol.

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fcccaww]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98663E21-9CCE-4CF6-863C-911A9523A66F}]

danach: Combofix noch einmal anwenden - tippe 1

-------------------------------------

PC neustarten

»»
scanne + poste den report hier
http://virus-protect.org/artikel/tools/kaspersky.html

««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
lade combofix neu - poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Das Kaspersky Tool habe ich scannen lassen, aber das mit dem Report verstehe ich nicht ganz. Man muss den selber speichern nach dem Scan, oder? Das habe ich getan, aber der Report erscheint mir wieder etwas kurz.

Report

Scan
----
Scanned: 4190
Detected: 0
Untreated: 0
Start time: 2008-02-05 17:16
Duration: 00:09:36
Finish time: 2008-02-05 17:26


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----



Wenn ich den gesamten Arbeitsplatz mitscanne, dann fällt der Report seeeehr lang aus.

#19 der Report ist o.k.

nun entferne die Combofix + lade sie neu + poste den report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20 ComboFix 08-02.05.3 - 1 2008-02-05 18:17:14.8 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.179 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-05 bis 2008-02-05 ))))))))))))))))))))))))))))))
.

2008-02-03 21:03 . 2008-02-05 18:29 489,504 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-03 21:03 . 2008-02-04 21:17 7,052 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-03 19:40 . 2008-02-03 19:40 139,008 --a------ C:\WINDOWS\system32\guard32.dll
2008-02-02 22:41 . 2008-02-03 19:32 <DIR> d-------- C:\RVAXO
2008-02-02 22:09 . 2008-02-02 18:08 654,382 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-02-02 22:09 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO
2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo
2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys
2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-29 22:47 . 2008-02-03 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira
2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 15:14 --------- d-----w C:\Programme\ICQToolbar
2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer
2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3
2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus
2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity
2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild
2007-12-09 19:23 --------- d-----w C:\Programme\DVDx
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip
2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472]
"AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_03.02.2008_22-01.exe" [2007-10-12 15:29 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11]
S2 setup_7.0.0.180_03.02.2008_22-01;setup_7.0.0.180_03.02.2008_22-01;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_03.02.2008_22-01.exe" [2007-10-12 15:29]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}]
\Shell\AutoRun\command - H:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-04 17:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 18:30:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-05 18:33:28
ComboFix2.txt 2008-02-03 19:50:30
.
2008-01-09 15:07:56 --- E O F ---

#21 lade bitte diese dll hoch - lasse sie prüfen - poste den report
http://www.virustotal.com/de/

C:\WINDOWS\system32\guard32.dll
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#22 Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.05 -
Authentium 4.93.8 2008.02.05 -
Avast 4.7.1098.0 2008.02.04 -
AVG 7.5.0.516 2008.02.05 -
BitDefender 7.2 2008.02.05 -
CAT-QuickHeal 9.00 2008.02.04 -
ClamAV 0.92 2008.02.05 -
DrWeb 4.44.0.09170 2008.02.05 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5512 2008.02.05 -
Ewido 4.0 2008.02.05 -
FileAdvisor 1 2008.02.05 -
Fortinet 3.14.0.0 2008.02.05 -
F-Prot 4.4.2.54 2008.02.04 -
F-Secure 6.70.13260.0 2008.02.05 -
Ikarus T3.1.1.20 2008.02.05 -
Kaspersky 7.0.0.125 2008.02.05 -
McAfee 5222 2008.02.04 -
Microsoft 1.3204 2008.02.05 -
NOD32v2 2850 2008.02.05 -
Norman 5.80.02 2008.02.05 -
Panda 9.0.0.4 2008.02.04 -
Prevx1 V2 2008.02.05 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.05 -
Sunbelt 2.2.907.0 2008.02.05 -
Symantec 10 2008.02.05 -
TheHacker 6.2.9.209 2008.02.05 -
VBA32 3.12.6.0 2008.02.05 -
VirusBuster 4.3.26:9 2008.02.05 -
Webwasher-Gateway 6.6.2 2008.02.05 -

weitere Informationen
File size: 139008 bytes
MD5: d8cbc192dd7f4d010dc9d54ffb7961bb
SHA1: 0dd4b8ac7b3debf36db75035de57e471036145dd
PEiD: -

#23 ««
guard32.dll müsste vom Comodo-Firewall kommen...

««
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

ist immer noch da - ich verstehe das nicht

Gehe in die Registry
Start - Ausführen - regedit
oben links klicke: suchen - schreibe : fcccaww

lösche den Eintrag unter notify

»»
deaktiviere:
Search & Destroy\TeaTimer.exe

««
Starte den Rechner neu.

»»
scanne + poste den report
http://virus-protect.org/ewido.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#24 Hmm, ich verstehe das auch nicht. Jetzt findet der keinen Eintrag namens fcccaww. Und wenn ich mich manuell nach [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww] durchklicke, dann steht da auch nichts mehr von fcccaww.
Wo soll ich den TeaTimer deaktivieren, bei Hijackthis?

#25 ««
du kannst den TeaTimer direkt beim Spybot deaktivieren

+ eine neue cfscript.txt erstellen + mit Combofix entfernen

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-

dann:
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

dann
lade Combofix neu + poste den Report - wichtig, dass die combofix zuerst vom System gelöscht wird !
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#26 ComboFix 08-02.05.3 - 1 2008-02-06 15:44:16.11 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.163 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-06 bis 2008-02-06 ))))))))))))))))))))))))))))))
.

2008-02-06 15:41 . 2004-08-03 23:57 401,408 --a------ C:\kmd.exe
2008-02-03 21:03 . 2008-02-05 18:46 503,840 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-03 21:03 . 2008-02-05 18:46 9,068 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-03 19:40 . 2008-02-03 19:40 139,008 --a------ C:\WINDOWS\system32\guard32.dll
2008-02-02 22:41 . 2008-02-03 19:32 <DIR> d-------- C:\RVAXO
2008-02-02 22:09 . 2008-02-02 18:08 654,382 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-02-02 22:09 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO
2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo
2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys
2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-29 22:47 . 2008-02-06 15:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira
2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 15:14 --------- d-----w C:\Programme\ICQToolbar
2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer
2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3
2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus
2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity
2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild
2007-12-09 19:23 --------- d-----w C:\Programme\DVDx
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip
2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}]
\Shell\AutoRun\command - H:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-04 17:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 15:47:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-06 15:48:22
.
2008-01-09 15:07:56 --- E O F ---

#27 juhuuu !! ist weg
nun, es müsste wieder alles sauber sein, falls es noch Probs geben sollte - melde dich.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#28 Danke danke danke vielmals für deine Hilfe!!! ^^