TR/Vundo.Gen lässt sich nicht löschen

#1 Hallo,

habe seit gestern ein anderes Antivirenprogramm (AntiVir PE Classic) auf dem Rechner und das hat mich direkt auf den Trojaner TR/Vundo.Gen aufmerksam gemacht, der sich im Pfad C:/WINDOWS/system32/fcccaww.dll befindet.
Nun habe ich schon über die anderen Forenbeiträge ein paar Sachen ausprobiert.

Manuell lässt er sich nicht löschen, weil die Datei angeblich von einem Programm verwendet wird. AntiVir kann ihn auch nicht löschen. FixVundo.exe findet erst gar nichts, VundoFix.exe findet ihn zwar, aber kann ihn auch nicht löschen. Hijackthis kann es ebenso nicht entfernen. Habe es auch im abgesicherten Modus probiert.
Achja, das Programm SmitfraudFix.exe hat es auch nicht geschafft. Wie ihr seht treibt mich dieser Trojaner so langsam in die Verzweiflung. ^^'*
Den Avenger habe ich mir schon runtergeladen, aber was ich genau da machen muss weiß ich leider nicht.

Hier der Hijackthis LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:01, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2BEB1F22-E08F-410C-A29C-B8A791163646} - C:\WINDOWS\system32\ssqpp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {98663E21-9CCE-4CF6-863C-911A9523A66F} - C:\WINDOWS\system32\fcccaww.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\Programme\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Programme\HiDownload\HDGet.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5976F1A7-A0E0-4DC4-BFBA-A23E9CCA38C1}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: fcccaww - C:\WINDOWS\SYSTEM32\fcccaww.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


Danke schonmal im Vorraus, dass ihr bereit seid mir zu helfen.

Liebe Grüße,
Tjara

#2 Hi

O20 - Winlogon Notify: fcccaww - C:\WINDOWS\SYSTEM32\fcccaww.dll
Dieser Schlüssel ist normal in diesem Pfad zu finden:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

1a) Entweder den Schlüssel mit fcccaww manuell löschen
1b) oder mit Autoruns:
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Autoruns starten und unter Winlogon bei der fcccaww.dll den Hacken raus machen.

2) Neustart und die Datei fcccaww.dll im Verzeichnis C:\WINDOWS\SYSTEM32\ löschen.

MfG
__________
"Free thought can`t be bought" States Of Mind - Senser

#3 Hallo Tjara
poste bitte das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#4 @subset
Danke für deinen Tipp. Habe es mit Autoruns versucht, den Haken aus dem Kästchen genommen, danach den Eintrag sogar ganz gelöscht und Pc neu gestarten, aber fcccaww.dll lässt sich trotzdem nicht löschen. Habe wieder Autoruns gestartet und der Eintrag von der Datei steht wieder drin.

@Pinguin

Hier das Log von Combofix:

ComboFix 08-02.01.1 - 1 2008-01-31 18:16:37.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.169 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ssqpp.dll
C:\Dokumente und Einstellungen\1\Anwendungsdaten\DriveCleaner Free
C:\Dokumente und Einstellungen\1\Anwendungsdaten\DriveCleaner Free\Logs\update.log
C:\Dokumente und Einstellungen\1\ResErrors.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\Programme\Gemeinsame Dateien\drivecleaner free\udcwap.exe
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\kxmymada.dll
C:\WINDOWS\system32\ppqss.ini
C:\WINDOWS\system32\ppqss.ini2
C:\WINDOWS\system32\ssqpp.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-30 14:25 . 2008-01-30 17:36 825 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-01-29 23:36 . 2008-01-30 18:16 <DIR> d-------- C:\VundoFix Backups
2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-29 22:47 . 2008-02-01 18:27 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software
2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira
2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-29 20:41 . 2008-01-29 20:41 38,400 --------- C:\WINDOWS\system32\fcccaww.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3
2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus
2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity
2008-01-19 19:48 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer
2007-12-10 16:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild
2007-12-09 19:23 --------- d-----w C:\Programme\DVDx
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip
2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]
2008-01-29 20:41 38400 --------- C:\WINDOWS\system32\fcccaww.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{98663E21-9CCE-4CF6-863C-911A9523A66F}"= C:\WINDOWS\system32\fcccaww.dll [2008-01-29 20:41 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]
fcccaww.dll 2008-01-29 20:41 38400 C:\WINDOWS\system32\fcccaww.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11]
S0 vaxjutbm;vaxjutbm;C:\WINDOWS\system32\drivers\kndhhjek.sys []
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}]
\Shell\AutoRun\command - H:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-01-29 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 18:32:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\fcccaww.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 18:36:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-01 17:36:38
.
2008-01-09 15:07:56 --- E O F ---

#5 1.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Firewall Driver

-------------------------------------------------------------------
2.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

sc delete Firewall Driver

---------------------------------------------------------------
3.
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Firewall Driver

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

fwdrv

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

vaxjutbm

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------
4.

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

Driver::
kndhhjek.sys
fwdrv.sys
fwdrv.err

File::
C:\WINDOWS\system32\fcccaww.dll
C:\WINDOWS\system32\drivers\kndhhjek.sys
C:\WINDOWS\system32\drivers\fwdrv.err
C:\WINDOWS\system32\drivers\fwdrv.sys

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

««
poste das neue log von combofix hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 Hmm... unter "Dienste" steht nichts von dem Firewall Driver. Was hat das zu bedeuten?

#7 o.k. --- wenn es nicht da ist, kann man es nicht löschen... arbeite alles weitere Punkt für Punkt ab
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 RegSearch:

Ich habe übrigens die Sunbelt Firewall wieder deinstalliert, weil ich damit nicht so zufireden war und mir stattdessen die kostenlose "COMODO Firewall" installiert, weil ich dachte, die ist vielleicht besser.

Firewall Driver Log

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 02.02.2008 23:14:58 for strings:
; 'firewall driver'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV\0000]
"DeviceDesc"="Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_INSPECT\0000]
"DeviceDesc"="COMODO Firewall Pro Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Inspect]
"Description"="COMODO Firewall Pro Firewall Driver"
"DisplayName"="COMODO Firewall Pro Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV\0000]
"DeviceDesc"="Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_INSPECT\0000]
"DeviceDesc"="COMODO Firewall Pro Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Inspect]
"Description"="COMODO Firewall Pro Firewall Driver"
"DisplayName"="COMODO Firewall Pro Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV\0000]
"DeviceDesc"="Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INSPECT\0000]
"DeviceDesc"="COMODO Firewall Pro Firewall Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Inspect]
"Description"="COMODO Firewall Pro Firewall Driver"
"DisplayName"="COMODO Firewall Pro Firewall Driver"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="Firewall Driver"

; End Of The Log...


fwdrv Log

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 02.02.2008 23:19:33 for strings:
; 'fwdrv'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV\0000]
"Service"="fwdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv]
"ErrLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.err"
"DebugLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.dbg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv\Enum]
"0"="Root\\LEGACY_FWDRV\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV\0000]
"Service"="fwdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv]
"ErrLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.err"
"DebugLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.dbg"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV\0000]
"Service"="fwdrv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv]
"ErrLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.err"
"DebugLogFile"="\\SystemRoot\\System32\\drivers\\fwdrv.dbg"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv\Enum]
"0"="Root\\LEGACY_FWDRV\\0000"

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="fwdrv"

; End Of The Log...

vaxjutbm Log

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-02 23:53:12 for strings:
; 'vaxjutbm'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM\0000]
"Service"="vaxjutbm"
"DeviceDesc"="vaxjutbm"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm\Enum]
"0"="Root\\LEGACY_VAXJUTBM\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM\0000]
"Service"="vaxjutbm"
"DeviceDesc"="vaxjutbm"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vaxjutbm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM\0000]
"Service"="vaxjutbm"
"DeviceDesc"="vaxjutbm"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm\Enum]
"0"="Root\\LEGACY_VAXJUTBM\\0000"

; End Of The Log...






Punkt 4 habe ich natürlich auch genau befolgt und zu meiner Überraschung oder ich hoffe schon Erleichterung kann ich sagen, dass AntiVir nach dem Neustart nicht wie immer alle paar Sekunden die Virenwahrnung angezeigt hat. ^^ Heißt das jetzt, ich bin den sturen Trojaner endlich wieder los??

Mir hat allerdings auch etwas Sorgen bereitet, undzwar wurde bei dem Neustart nach dem Löschvorgang durch Combofix eine Problemmeldung angezeigt. Also blauer Bildschirm... Als Problem wurde angezeigt: INVALID_KERNEL_HANDLE
Habe ich da Grund zur Sorge? Den Computer habe ich jedenfalls nochmal neu gestartet und die Problemmeldung kam zum Glück nicht nocheinmal.


Neues Log von Combofix

ComboFix 08-02.01.1 - 1 2008-02-03 0:00:28.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.189 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\1\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINDOWS\system32\drivers\fwdrv.err
C:\WINDOWS\system32\drivers\fwdrv.sys
C:\WINDOWS\system32\drivers\kndhhjek.sys
C:\WINDOWS\system32\fcccaww.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\fcccaww.dll
C:\WINDOWS\system32\geebc.dll
C:\WINDOWS\system32\cbeeg.ini
C:\WINDOWS\system32\cbeeg.ini2
C:\WINDOWS\system32\drivers\fwdrv.err
C:\WINDOWS\system32\fcccaww.dll
C:\WINDOWS\system32\geebc.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO
2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo
2008-02-02 21:19 . 2008-02-02 21:19 139,008 --a------ C:\WINDOWS\system32\guard32.dll.vir
2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys
2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-29 23:36 . 2008-01-30 18:16 <DIR> d-------- C:\VundoFix Backups
2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-29 22:47 . 2008-02-03 00:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software
2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira
2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer
2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3
2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus
2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity
2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild
2007-12-09 19:23 --------- d-----w C:\Programme\DVDx
2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip
2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11]
S0 vaxjutbm;vaxjutbm;C:\WINDOWS\system32\drivers\kndhhjek.sys []
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}]
\Shell\AutoRun\command - H:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-02 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 00:19:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-03 0:22:48 - machine was rebooted [1]
ComboFix-quarantined-files.txt 2008-02-02 23:22:42
ComboFix2.txt 2008-02-01 17:36:54
.
2008-01-09 15:07:56 --- E O F ---

#9 avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vaxjutbm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv

drivers to unload:
vaxjutbm
fwdrv

Files to delete:
C:\WINDOWS\system32\drivers\kndhhjek.sys
C:\WINDOWS\system32\drivers\fwdrv.dbg
C:\WINDOWS\system32\drivers\fwdrv.err
C:\WINDOWS\system32\guard32.dll.vir
C:\WINDOWS\system32\guard32.dll

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
»»
poste das Log vom Avenger, was erscheint

------------------------

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

3.
lade Combofix neu, wende an + poste das neue Log
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Avenger Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bwlckqqs

*******************

Script file located at: nnixwxbk

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

#11 ja nun.. du musst ganz genau abarbeiten, was auf der Seite vom Avenger erklärt ist, sonst funktioniert es nicht
Nicht etwa "zitat" mit reinkopieren .. und ansonsten: schau noch mal nach:
http://virus-protect.org/artikel/tools/avenger.html
wie es gemacht wird.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 ^^ Oh, ok das sieht schon besser aus:

Avenger Log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hdlsfqby

*******************

Script file located at: \??\C:\cgmuqbmm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vaxjutbm deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\vaxjutbm deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vaxjutbm
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VAXJUTBM deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VAXJUTBM deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VAXJUTBM
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FWDRV deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fwdrv deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWDRV deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\fwdrv deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWDRV
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Services\vaxjutbm not found!
Unload of driver vaxjutbm failed!

Could not process line:
vaxjutbm
Status: 0xc0000034



Registry key \Registry\Machine\System\CurrentControlSet\Services\fwdrv not found!
Unload of driver fwdrv failed!

Could not process line:
fwdrv
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\kndhhjek.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\kndhhjek.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\kndhhjek.sys
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\fwdrv.dbg not found!
Deletion of file C:\WINDOWS\system32\drivers\fwdrv.dbg failed!

Could not process line:
C:\WINDOWS\system32\drivers\fwdrv.dbg
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\fwdrv.err not found!
Deletion of file C:\WINDOWS\system32\drivers\fwdrv.err failed!

Could not process line:
C:\WINDOWS\system32\drivers\fwdrv.err
Status: 0xc0000034

File C:\WINDOWS\system32\guard32.dll.vir deleted successfully.


File C:\WINDOWS\system32\guard32.dll not found!
Deletion of file C:\WINDOWS\system32\guard32.dll failed!

Could not process line:
C:\WINDOWS\system32\guard32.dll
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



Combofix Log

ComboFix 08-02.02.5 - 1 2008-02-01 13:33:42.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.183 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO
2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo
2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys
2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-29 22:47 . 2008-02-03 00:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software
2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira
2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer
2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3
2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus
2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-29 19:55 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity
2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild
2007-12-09 19:23 --------- d-----w C:\Programme\DVDx
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-03-30 18:53 71,198 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_30_20_51_32_small.dmp.zip
2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}]
\Shell\AutoRun\command - H:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-02 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 13:38:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 13:39:39
.
2008-01-09 15:07:56 --- E O F ---

#13 ««

neue cfscript.txt erstellen
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1

poste das neue log von combofix

----------

»
wende rvaxo an + poste hier das log
http://virus-protect.org/artikel/tools/rvaxo.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Neues Log von Combofix

ComboFix 08-02.02.5 - 1 2008-02-02 21:30:36.6 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\1\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\1\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-02-02 21:52 . 2008-02-02 21:52 45 --a------ C:\TEST.XML
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Programme\COMODO
2008-02-02 21:19 . 2008-02-02 21:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-02-02 21:19 . 2008-02-02 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\1\Anwendungsdaten\Comodo
2008-02-02 21:19 . 2008-02-02 21:19 81,272 --a------ C:\WINDOWS\system32\drivers\cmdGuard.sys
2008-02-02 21:19 . 2008-02-02 21:19 23,672 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-01-30 18:46 . 2008-01-30 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-29 22:47 . 2006-02-19 18:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-29 22:47 . 2008-02-02 15:10 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-29 22:47 . 2006-02-19 18:58 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-29 22:47 . 2006-02-19 18:46 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-29 22:47 . 2008-01-30 17:40 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-29 22:38 . 2008-01-29 22:59 1,754 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-29 22:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-29 22:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-29 22:37 . 2008-01-27 14:37 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-29 22:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-29 22:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-29 22:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-29 22:14 . 2008-01-29 22:14 <DIR> d-------- C:\Programme\Sunbelt Software
2008-01-29 22:02 . 2008-01-29 22:02 <DIR> d-------- C:\Programme\Avira
2008-01-29 21:28 . 2008-01-29 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 18:09 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\MyPhoneExplorer
2008-01-29 22:18 --------- d-----w C:\Programme\StreamDown v6.3
2008-01-29 22:18 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Azureus
2008-01-29 19:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-25 20:56 --------- d-----w C:\Dokumente und Einstellungen\1\Anwendungsdaten\Audacity
2007-12-09 20:42 --------- d-----w C:\Programme\MSBuild
2007-12-09 19:23 --------- d-----w C:\Programme\DVDx
2006-06-10 19:38 7,371,264 ----a-w C:\Programme\antivir0.vdf
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98663E21-9CCE-4CF6-863C-911A9523A66F}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 00:04 1415824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-04-29 23:19 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 22:05 249896]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-02-02 21:19 1481472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fcccaww]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-02-02 21:19]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-02-02 21:19]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-09-28 12:59]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 10:43]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys [2001-11-27 17:11]
S3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-02-22 01:01]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S3 pohci13F;pohci13F;C:\DOKUME~1\1\LOKALE~1\Temp\pohci13F.sys []
S3 s816bus;Sony Ericsson Device 816 driver (WDM);C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 09:51]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 09:51]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 09:51]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e469148-bcd1-11db-90b5-0040d0583fb5}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7216e348-ff9a-11da-8f40-f403e0502313}]
\Shell\AutoRun\command - G:\preinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2af2e44-76fc-11db-902d-9a7a086388c8}]
\Shell\AutoRun\command - H:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-02 17:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 21:45:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-02 21:52:40 - machine was rebooted
ComboFix2.txt 2008-02-02 14:10:08
ComboFix3.txt 2008-02-01 12:39:43
.
2008-01-09 15:07:56 --- E O F ---

#15 ««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

fcccaww

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

{98663E21-9CCE-4CF6-863C-911A9523A66F}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/