Vundo.Gen in bupllctu.exe und rqrsrsp.dll Datei

#1 Hallo zusammen.
Habe mir leider diesen Trojaner "Vundo.gen" eingefangen.
Mit AntiVir ist dem nicht bei zukommen.
Habe hier gelesen, mit Hilfe von "VundoFix" kann man weiter kommern.
Nach einem Durchlauf mit "VundoFix" bleiben mir noch 2 von 6 Dateien übrig:

c:\WINDOWS\system32\bupllctu.exe
c:\WINDOWS\system32\rqrsrsp.dll

Und ... manchmal öfnet sich ein Fenster und "stellt fest" das zur Zeit keine Verbindung zum Internet besteht. Und fragt ob "offline" gearbeitet werden soll bzw. erneut versucht werden soll, eine Verbindung her zustellen.
Wer will denn da ins Netz ?

Was kann ich machen um wieder beruhigt mit dem Laptop ins Internet zu können ?
Schreibe dieses mit einem anderen PC.

Könnt Ihr mir helfen ? ...auch wenn ich kein PC-Spezialist bin ?
Viele Grüsse ....Jürgen

#2 Bitte poste einmal den Rest Reporte aus diesem Thread. http://board.protecus.de/t23187.htm
__________
MfG Argus

#3 Hier die erforderlichen Logs:

Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
El volumen de la unidad C no tiene etiqueta.
El número de serie del volumen es: D025-9D4F

Directorio de C:\WINDOWS\system32

2008-02-11 16:36 2,206 wpa.dbl
2008-02-02 15:37 8,464 SpOrder.dll
2008-02-02 14:16 189,000 FNTCACHE.DAT
2008-02-02 14:12 460,970 perfh00A.dat
2008-02-02 14:12 80,590 perfc00A.dat
2008-02-02 14:12 399,050 perfh009.dat
2008-02-02 14:12 61,372 perfc009.dat
2008-02-02 13:43 1,082,336 PerfStringBackup.INI
2008-02-02 12:38 306,432 TuneUpDefragService.exe
2008-02-02 12:09 26,144 Status.MPF
2008-01-27 09:08 2,021,790 6965F6.mht
2008-01-02 18:21 17,642,616 MRT.exe
2007-12-13 07:21 388,002 TZLog.log
2007-12-11 10:57 49,152 QuickTime.qts
2007-12-11 10:57 65,536 QuickTimeVR.qtx
2007-11-13 11:31 60,416 tzchange.exe
ComboFix 08-02.11.1 - Juergen 2008-02-11 7:29:12.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.689 [GMT 0:00]
Se ejecuta desde: C:\Documents and Settings\Juergen\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

[color=red]ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! [/color]
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ssqpp.dll
C:\Archivos de programa\Archivos comunes\Yazzle1560OinUninstaller.exe
C:\Archivos de programa\outerinfo
C:\Archivos de programa\Router
C:\Archivos de programa\Temporary
C:\Documents and Settings\Juergen\Datos de programa\WinTouch
C:\Documents and Settings\Juergen\Datos de programa\WinTouch\wintouch.cfg
C:\Documents and Settings\Juergen\Datos de programa\WinTouch\WTUninstaller.exe
C:\Documents and Settings\LocalService\Datos de programa\NetMon
C:\Documents and Settings\LocalService\Datos de programa\NetMon\domains.txt
C:\Documents and Settings\LocalService\Datos de programa\NetMon\log.txt
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\asembl~1
C:\WINDOWS\sstem~1
C:\WINDOWS\sstem~1\s?stem\
C:\WINDOWS\system32\bupllctu.exe
C:\WINDOWS\system32\lnnmp.ini
C:\WINDOWS\system32\lnnmp.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\ppqss.ini
C:\WINDOWS\system32\ppqss.ini2
C:\WINDOWS\system32\rqrsrsp.dll
C:\WINDOWS\system32\ssqpp.dll
C:\WINDOWS\system32\toppdeti.ini
C:\WINDOWS\system32\vycdd.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_NETWORK_MONITOR
-------\DomainService


(((((((((((((((((( Archivos creados desde 2008-01-11 - 2008-02-11 )))))))))))))))))))))))))))))))))
.

2008-02-10 15:04 . 2008-02-10 15:08 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-02-09 20:59 . 2008-02-09 21:03 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-09 20:59 . 2008-02-09 20:59 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-02-09 12:51 . 2008-02-04 09:33 132,608 --a------ C:\Vundo.exe
2008-02-04 14:41 . 2008-02-04 14:41 <DIR> d-------- C:\Documents and Settings\Juergen\Datos de programa\Bytemobile
2008-02-04 11:30 . 2008-02-10 19:42 <DIR> d-------- C:\VundoFix Backups
2008-02-03 08:46 . 2008-02-03 08:46 <DIR> d-------- C:\Archivos de programa\MSXML 6.0
2008-02-02 15:00 . 2008-02-02 15:00 <DIR> d-------- C:\Documents and Settings\Juergen\Datos de programa\Vodafone
2008-02-02 14:52 . 2008-02-02 14:52 <DIR> d-------- C:\Documents and Settings\NetworkService\Datos de programa\Bytemobile
2008-02-02 14:52 . 2008-02-02 14:52 <DIR> d-------- C:\Documents and Settings\Juergen\Datos de programa\InstallShield
2008-02-02 14:42 . 2008-02-02 14:42 <DIR> d-------- C:\Archivos de programa\Huawei technologies
2008-02-02 14:41 . 2008-02-02 15:37 8,464 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-02-02 13:39 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-02-02 13:35 . 2008-02-02 14:14 <DIR> d-------- C:\fddd27dffa7c4170cba685d153da
2008-02-02 12:53 . 2008-02-02 12:53 <DIR> d-------- C:\Archivos de programa\Avira
2008-02-02 12:38 . 2008-02-02 12:38 <DIR> d-------- C:\Documents and Settings\Juergen\Datos de programa\TuneUp Software
2008-02-02 12:38 . 2008-02-02 12:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\TuneUp Software
2008-02-02 12:38 . 2008-02-02 12:38 <DIR> d-------- C:\Archivos de programa\TuneUp Utilities 2008
2008-02-02 12:38 . 2008-02-02 12:38 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-02 12:38 . 2007-09-04 11:59 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-02 12:37 . 2008-02-02 12:37 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-28 22:42 . 2008-01-28 22:42 244 --ah----- C:\sqmnoopt19.sqm
2008-01-28 21:36 . 2008-02-02 12:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Avira
2008-01-28 21:17 . 2008-02-02 19:20 <DIR> d-------- C:\Archivos de programa\Dot1XCfg
2008-01-28 21:12 . 2008-01-28 21:12 268 --ah----- C:\sqmdata19.sqm
2008-01-28 21:12 . 2008-01-28 21:12 244 --ah----- C:\sqmnoopt18.sqm
2008-01-27 19:11 . 2008-01-27 19:11 268 --ah----- C:\sqmdata18.sqm
2008-01-27 19:11 . 2008-01-27 19:11 244 --ah----- C:\sqmnoopt17.sqm
2008-01-27 17:55 . 2008-01-27 17:55 268 --ah----- C:\sqmdata17.sqm
2008-01-27 17:55 . 2008-01-27 17:55 244 --ah----- C:\sqmnoopt16.sqm
2008-01-27 11:48 . 2008-01-27 11:48 <DIR> d-------- C:\Archivos de programa\Sophos
2008-01-27 10:31 . 2008-01-27 10:31 268 --ah----- C:\sqmdata16.sqm
2008-01-27 10:31 . 2008-01-27 10:31 244 --ah----- C:\sqmnoopt15.sqm
2008-01-27 09:33 . 2004-08-20 11:00 732,672 --a------ C:\WINDOWS\system32\7485FF.tmp
2008-01-27 09:08 . 2008-01-27 09:08 2,021,790 --a------ C:\WINDOWS\system32\6965F6.mht
2008-01-27 09:07 . 2008-01-27 09:07 <DIR> d-------- C:\PCWELT
2008-01-23 22:22 . 2008-01-23 22:22 <DIR> d-------- C:\WINDOWS\system32\uwce9
2008-01-23 22:22 . 2008-01-29 19:36 <DIR> d-------- C:\WINDOWS\system32\ae1
2008-01-23 22:22 . 2008-01-23 22:33 <DIR> d--hs---- C:\WINDOWS\SnVlcmdlbg
2008-01-23 22:22 . 2008-01-23 22:22 <DIR> d-------- C:\TEMP\gTiis19
2008-01-23 22:22 . 2008-01-23 22:22 <DIR> d-------- C:\TEMP\cXzz9
2008-01-12 18:04 . 2008-01-12 18:04 268 --ah----- C:\sqmdata15.sqm
2008-01-12 18:04 . 2008-01-12 18:04 244 --ah----- C:\sqmnoopt14.sqm

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 20:22 --------- d-----w C:\Archivos de programa\No23 Recorder
2008-02-04 14:44 --------- d-----w C:\Archivos de programa\Telefonica
2008-02-02 16:47 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2008-02-02 16:38 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-02 12:31 --------- d-----w C:\Archivos de programa\CyberLink
2008-02-02 12:25 --------- d-----w C:\Archivos de programa\McAfee.com
2008-02-02 12:12 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\McAfee.com
2007-12-26 14:34 --------- d-----w C:\Documents and Settings\Juergen\Datos de programa\Apple Computer
2007-12-26 14:34 --------- d-----w C:\Archivos de programa\iTunes
2007-12-26 14:34 --------- d-----w C:\Archivos de programa\iPod
2007-12-26 14:33 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2007-12-26 14:33 --------- d-----w C:\Archivos de programa\QuickTime
2007-12-26 14:32 --------- d-----w C:\Archivos de programa\Apple Software Update
2007-12-26 14:31 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2007-12-26 14:31 --------- d-----w C:\Archivos de programa\Archivos comunes\Apple
2005-08-02 16:46 187,904 --sha-r C:\WINDOWS\SnVlcmdlbg\asappsrv.dll
2005-07-29 16:24 472 --sha-r C:\WINDOWS\SnVlcmdlbg\mBp5wAx5v0.vbs
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 11:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 16:48 32881]
"IntelWireless"="C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 13:59 385024]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-10-14 10:34 185632]
"avgnt"="C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-02 17:21 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 11:00 15360]
"DWQueuedReporting"="C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 15:38 39264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 15:08 110592 C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"NCLaunch"=C:\WINDOWS\NCLAUNCH.EXe
"ISUSPM"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"SpybotSD TeaTimer"=C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
"ATIPTA"=C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
"d0259de0"=rundll32.exe "C:\WINDOWS\system32\itedppot.dll",b
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe"
"ISUSPM Startup"=C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
"FLMOFFICE4DMOUSE"=C:\Archivos de programa\Browser MOUSE\mouse32a.exe
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe

R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-20 11:00]
S1 eusk2par;EUTRON SmartKey Parallel Driver;C:\WINDOWS\system32\Drivers\eusk2par.sys [2004-11-18 11:49]
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-02 12:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23a72721-d19d-11dc-9118-00123fcfd038}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{437052c5-d185-11dc-9112-00123fcfd038}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a38e5e5-d1ad-11dc-911c-00123fcfd038}]
\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be41bef6-d1a4-11dc-9119-00123fcfd038}]
\Shell\AutoRun\command - F:\AutoRun.exe

.
Contenido de carpeta 'Tareas Programadas'
"2008-02-02 12:39:03 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Archivos de programa\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-11 08:02:28
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\UAService.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
.
**************************************************************************
.
Tiempo completado: 2008-02-11 8:04:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-11 08:04:47
.
2008-02-03 08:46:27 --- E O F ---


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:38:38, on 11/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Intel\Wireless\Bin\1XConfig.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\UAService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/accesos/premium/alta_premium.html?AAC_PROMO_CODE=1800000279000001561A
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Archivos de programa\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Archivos de programa\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6767 bytes


Actualización de seguridad para el Reproductor de Windows Media (KB911564)
Actualización de seguridad para el Reproductor de Windows Media 11 (KB936782)
Actualización de seguridad para el Reproductor de Windows Media 6.4 (KB925398)
Actualización de seguridad para el Reproductor de Windows Media 9 (KB911565)
Actualización de seguridad para el Reproductor de Windows Media 9 (KB917734)
Actualización de seguridad para Windows Internet Explorer 7 (KB938127)
Actualización de seguridad para Windows Internet Explorer 7 (KB942615)
Actualización de seguridad para Windows XP (KB883939)
Actualización de seguridad para Windows XP (KB890046)
Actualización de seguridad para Windows XP (KB893756)
Actualización de seguridad para Windows XP (KB896358)
Actualización de seguridad para Windows XP (KB896422)
Actualización de seguridad para Windows XP (KB896423)
Actualización de seguridad para Windows XP (KB896424)
Actualización de seguridad para Windows XP (KB896428)
Actualización de seguridad para Windows XP (KB896688)
Actualización de seguridad para Windows XP (KB899587)
Actualización de seguridad para Windows XP (KB899588)
Actualización de seguridad para Windows XP (KB899591)
Actualización de seguridad para Windows XP (KB900725)
Actualización de seguridad para Windows XP (KB901017)
Actualización de seguridad para Windows XP (KB901214)
Actualización de seguridad para Windows XP (KB902400)
Actualización de seguridad para Windows XP (KB903235)
Actualización de seguridad para Windows XP (KB904706)
Actualización de seguridad para Windows XP (KB905414)
Actualización de seguridad para Windows XP (KB905749)
Actualización de seguridad para Windows XP (KB905915)
Actualización de seguridad para Windows XP (KB908519)
Actualización de seguridad para Windows XP (KB911562)
Actualización de seguridad para Windows XP (KB911567)
Actualización de seguridad para Windows XP (KB911927)
Actualización de seguridad para Windows XP (KB912812)
Actualización de seguridad para Windows XP (KB912919)
Actualización de seguridad para Windows XP (KB913446)
Actualización de seguridad para Windows XP (KB913580)
Actualización de seguridad para Windows XP (KB914388)
Actualización de seguridad para Windows XP (KB914389)
Actualización de seguridad para Windows XP (KB917159)
Actualización de seguridad para Windows XP (KB917344)
Actualización de seguridad para Windows XP (KB917422)
Actualización de seguridad para Windows XP (KB917953)
Actualización de seguridad para Windows XP (KB918118)
Actualización de seguridad para Windows XP (KB918439)
Actualización de seguridad para Windows XP (KB918899)
Actualización de seguridad para Windows XP (KB919007)
Actualización de seguridad para Windows XP (KB920213)
Actualización de seguridad para Windows XP (KB920214)
Actualización de seguridad para Windows XP (KB920670)
Actualización de seguridad para Windows XP (KB920683)
Actualización de seguridad para Windows XP (KB920685)
Actualización de seguridad para Windows XP (KB921398)
Actualización de seguridad para Windows XP (KB921503)
Actualización de seguridad para Windows XP (KB921883)
Actualización de seguridad para Windows XP (KB922616)
Actualización de seguridad para Windows XP (KB922819)
Actualización de seguridad para Windows XP (KB923191)
Actualización de seguridad para Windows XP (KB923414)
Actualización de seguridad para Windows XP (KB923694)
Actualización de seguridad para Windows XP (KB923980)
Actualización de seguridad para Windows XP (KB924191)
Actualización de seguridad para Windows XP (KB924270)
Actualización de seguridad para Windows XP (KB924496)
Actualización de seguridad para Windows XP (KB924667)
Actualización de seguridad para Windows XP (KB925454)
Actualización de seguridad para Windows XP (KB925486)
Actualización de seguridad para Windows XP (KB925902)
Actualización de seguridad para Windows XP (KB926255)
Actualización de seguridad para Windows XP (KB926436)
Actualización de seguridad para Windows XP (KB927779)
Actualización de seguridad para Windows XP (KB927802)
Actualización de seguridad para Windows XP (KB928090)
Actualización de seguridad para Windows XP (KB928255)
Actualización de seguridad para Windows XP (KB928843)
Actualización de seguridad para Windows XP (KB929123)
Actualización de seguridad para Windows XP (KB929969)
Actualización de seguridad para Windows XP (KB930178)
Actualización de seguridad para Windows XP (KB931261)
Actualización de seguridad para Windows XP (KB931768)
Actualización de seguridad para Windows XP (KB931784)
Actualización de seguridad para Windows XP (KB932168)
Actualización de seguridad para Windows XP (KB933566)
Actualización de seguridad para Windows XP (KB933729)
Actualización de seguridad para Windows XP (KB935839)
Actualización de seguridad para Windows XP (KB935840)
Actualización de seguridad para Windows XP (KB936021)
Actualización de seguridad para Windows XP (KB937143)
Actualización de seguridad para Windows XP (KB938127)
Actualización de seguridad para Windows XP (KB938829)
Actualización de seguridad para Windows XP (KB939653)
Actualización de seguridad para Windows XP (KB941202)
Actualización de seguridad para Windows XP (KB941568)
Actualización de seguridad para Windows XP (KB941569)
Actualización de seguridad para Windows XP (KB941644)
Actualización de seguridad para Windows XP (KB942615)
Actualización de seguridad para Windows XP (KB943460)
Actualización de seguridad para Windows XP (KB943485)
Actualización de seguridad para Windows XP (KB944653)
Actualización para Windows XP (KB894391)
Actualización para Windows XP (KB896727)
Actualización para Windows XP (KB898461)
Actualización para Windows XP (KB900485)
Actualización para Windows XP (KB904942)
Actualización para Windows XP (KB908531)
Actualización para Windows XP (KB910437)
Actualización para Windows XP (KB911280)
Actualización para Windows XP (KB916595)
Actualización para Windows XP (KB920872)
Actualización para Windows XP (KB922582)
Actualización para Windows XP (KB927891)
Actualización para Windows XP (KB929338)
Actualización para Windows XP (KB930916)
Actualización para Windows XP (KB931836)
Actualización para Windows XP (KB933360)
Actualización para Windows XP (KB936357)
Actualización para Windows XP (KB938828)
Actualización para Windows XP (KB942763)
Actualización para Windows XP (KB942840)
Actualización para Windows XP (KB946627)
Adobe Acrobat - Reader 6.0.2 Update
Adobe Flash Player 9 ActiveX
Adobe Reader 6.0.1 - Español
Adobe Shockwave Player
ALPS Touch Pad Driver
Apple Mobile Device Support
Apple Software Update
Asistente LAN + PC
ATI Control Panel
ATI Display Driver
Avira AntiVir PersonalEdition Classic
Broadcom Management Programs 2
Browser MOUSE
CDex extraction audio
Conexant D110 MDC V.9x Modem
Configuración de la NIC interna
Corel Uninstaller
Dell Picture Studio v3.0
Google Earth
Harry Potter TM
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Intel(R) PROSet/Wireless Software
iTunes
Jasc Paint Shop Photo Album 5
Jasc Paint Shop Pro Studio, Dell Editon
Java 2 Runtime Environment, SE v1.4.2_03
Majestic Chess
mCore
mDrWiFi
Metalium Screen Saver
mHlpDell
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 1.1 Spanish Language Pack
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 97, Professional Edition
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Works 7.0
mIWA
mIWCA
mLogView
mMHouse
Modem Helper
mPfMgr
mPfWiz
mProSafe
MSN
mSSO
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
mToolkit
mWlsSafe
mXML
mZConfig
Open Season
QuickSet
QuickTime
RealPlayer
Reproductor de Windows Media 11
Revisión de Windows XP - KB867282
Revisión de Windows XP - KB873333
Revisión de Windows XP - KB885836
Revisión de Windows XP - KB886185
Revisión de Windows XP - KB887742
Revisión de Windows XP - KB888302
Revisión de Windows XP - KB890859
Revisión de Windows XP - KB893066
Revisión de Windows XP - KB893086
Revisión para el Reproductor de Windows Media 11 (KB939683)
Revisión para Windows XP (KB914440)
Sonic DLA
Sonic RecordNow Audio
Sonic RecordNow Copy
Sonic RecordNow Data
Sonic Update Manager
Spybot - Search & Destroy
StoneAge 2 v1.11
TuneUp Utilities 2008
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR

Hoffe, habe alles richtig gemacht.
Nur zur Vorsicht, habe spanisches Windows installiert.

Viel Erfolg !

#4 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

Start-->Ausführen kopiere rein:
sc stop "MSControlService"
Klicke OK
Nochmal dasselbe kopiere rein:
sc delete "MSControlService"
Klicke OK

Java
http://board.protecus.de/t32385.htm

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes
__________
MfG Argus

#5 dasmuli

««
kopiere laut Anweisung von hier in den GV-Killer:
http://virus-protect.org/artikel/tools/gvkiller.html

Zitat

C:\WINDOWS\system32\7485FF.tmp
C:\WINDOWS\system32\6965F6.mht
C:\WINDOWS\system32\uwce9
C:\WINDOWS\system32\ae1
C:\\WINDOWS\SnVlcmdlbg
C:\TEMP\gTiis19
C:\TEMP\cXzz9

Schliesse den Editor und speichere die Daten
Klicke "Kill on reboot" und lass den Rechner neu starten
GV_Killer.exe wird jetzt neu starten und gebe die Erlaubnis, die Ordner zu entfernen

»»
poste das Löschlog, was erscheint

--------------------------------------------------------------

»»
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

MSControlService

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#6 @Pinguin
wow!! Beiträge: 1000
__________
MfG Argus

#7 Danke lieber Arnold... ich komm doch langsam wieder in Schwung, nicht wahr
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8 Ein 2 kilo schweres Geschenk ist unterwegs
__________
MfG Argus

#9 Hallo, da bin ich wieder.

Uff uff, war nicht soo einfach, aber schaut mal selbst:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-14 15:55:09 for strings:
; 'mscontrolservice'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"a"="sc stop MSControlService\\1"
"b"="sc delete MSControlService\\1"

; End Of The Log...


Und dann noch:


Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 2008-02-14 15:48:34 log van Juergen , Beheerder van deze computer
Platform: Windows XP Home SP2 ESN Normale modus

BEGIN Geplande taken-----------------------------------------------------------------
C:\WINDOWS\tasks\1-Klick-Wartung.job
EINDE Geplande taken-----------------------------------------------------------------


Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
AtiExtEvent Ati2evxx.dll
IntelWireless C:\Archivos de programa\Intel\Wireless\Bin\LgNotify.dll
WgaLogon WgaLogon.dll
Settings
Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------
C:\WINDOWS\system32\7485FF.tmp
C:\WINDOWS\system32\6965F6.mht
C:\WINDOWS\system32\uwce9
C:\WINDOWS\system32\ae1
C:\\WINDOWS\SnVlcmdlbg
C:\TEMP\gTiis19
C:\TEMP\cXzz9
EINDE Inhoud van Input.txt-----------------------------------------------------------

00 C:\WINDOWS\system32\7485FF.tmp
00 C:\WINDOWS\system32\6965F6.mht
M0 C:\WINDOWS\system32\uwce9
M0 C:\WINDOWS\system32\ae1
M0 C:\\WINDOWS\SnVlcmdlbg
M0 C:\TEMP\gTiis19
M0 C:\TEMP\cXzz9

;3476459-OEM-0011903-00102=MRLB55L4K25E4C48

;EINDE GV_Killer ---------------------------------------------------------------------
Alles richtig gemacht ?
Ist "er" jetzt "geheilt" ?

Noch eine Frage: was für ein Trojaner ist VUNDO denn ?
Was für Aktionen führt er aus ?

Dann habe ich gerade den ANTIVIR nochmal gestartet.
Er hat in 2 Archiven wieden `nen VUNDO gefunden.

Den Report poste ich gleich.



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: 2008-02-14 17:13

Es wird nach 1109165 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: NINA

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 14:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 2007-08-14 16:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 16:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 2007-08-14 16:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 15:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 17:21:52
ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 2008-02-08 19:26:46
ANTIVIR3.VDF : 7.0.2.139 181760 Bytes 2008-02-14 16:06:53
AVEWIN32.DLL : 7.6.0.65 3240448 Bytes 2008-02-14 16:06:53
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 11:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 08:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 14:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-02-02 17:21:55
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 08:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 13:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 08:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 12:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 13:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 2007-08-21 13:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 10:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\archivos de programa\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: 2008-02-14 17:13

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '57767' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '1XConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKEEPER.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '23' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Archivos de programa\ALCATECH\BPM-STUDIO PROFI\BPM.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480177fd.qua' verschoben!
C:\Documents and Settings\Juergen\Configuración local\Archivos temporales de Internet\Content.IE5\SEV9N3Q8\css4[1]
[FUND] Ist das Trojanische Pferd TR/Vundo.gc
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48277d14.qua' verschoben!
C:\Documents and Settings\Juergen\Mis documentos\BPMUSIK\BPM-Studio Profi\BPM.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48017d3c.qua' verschoben!
C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP288\A0032439.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.gc
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e47fbc.qua' verschoben!
C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP292\A0033082.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e47fdc.qua' verschoben!


Ende des Suchlaufs: 2008-02-14 18:00
Benötigte Zeit: 46:48 min

Der Suchlauf wurde vollständig durchgeführt.

6036 Verzeichnisse wurden überprüft
178129 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
178127 Dateien ohne Befall
8312 Archive wurden durchsucht
2 Warnungen
0 Hinweise
57767 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

...ist hoffentlich nützlich.
Hätte nicht gedacht, dass VUNDO soo hartnäckig ist.

Und was nun ?

Viele Grüsse .....Jürgen

#10 dasmuli

««
wende CCleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
versteckte temporäre Dateien finden - erstelle das script + poste, was im texteditor erscheint
http://virus-protect.org/artikel/tools/tempfiles_bat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Hallo Pinguin.

Manchmal passieren schon sonderbare Dinge:

nach dem durchsuchen (und posten) gestern habe ich noch einmal den VUNDOFIX über die Festplatte laufen lassen. Er hat nichts mehr gefunden.
Habe den Rechner runter- und wieder raufgefahren. Wieder VUNFOFIX suchen lassen und wieder nichts.
Habe mich dann mt dem Internet verbunden (halbe Stunde ca.) und danach wieder mit VUNDOFIX gesucht und auch nichts gefunden.

Sollte er jetzt verschwunden sein ?

Werde noch Deine letzten Ratschläge durchführen und berichten !

Vielen Dank trotzdem schon mal.

#12 Java
Dein Java software ist veraltet,

http://virus-protect.org/artikel/tools/javasun.html

Zitat

klicke auf: Windows XP/Vista/2000/2003 Online

Schliesse alle Programme auch den Webbrowser

über "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!

Nachdem alles entfernt wurde ---> Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u4-windows-i586-p-iftw.exe

oder:

Download jre-6u4-windows-i586-p-iftw.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u4-windows-i586-p-iftw.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u4-windows-i586-p-iftw.exe
__________
MfG Argus

#13 dasmuli

auch wenn Antivirus den Vundo aus den tempor.Dateien entfernt hat, solltest du jede Woche einmal den CCleaner anwenden
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Hallo Arnold !

Habe doch gerade vor 2 Tagen JAVA aktualisiert und die Version 6 Update 4 instaliert. Kann da etwas falsch gelaufen sein ?
Unter c:\Programme\JAVA steht auch "jre1.6.0_04"
Das ist doch die besagte Version, oder nicht ?

So, und jetzt (komme gerade erst nach Hause) noch den Ccleaner ausführen.
Mal sehen.
Werde berichten.


Hallo Pinguin !

Habe da ein Problem: ich soll auf "Start" - "Zubehör" - "Editor" gehen.

Start - ist schon klar
Zubehör - muss ich aber über "Programme" gehen - richtig ?
Editor - da ich eine spanische Version habe, steht hier nicht "Editor".
sollte da ein DOS-Bildschirm erscheinen und eine Befehlszeile stehen: c:\documents and settings\Juergen> ?
Bin ich da richtig ?


Gruss ....Jürgen

#15 Olá,

warum fragst du nach dem Editor ? Hat sich doch erledigt.. oder hab ich irgendwas verpasst ???
Eigentlich müsste ich firm mit spanischem/portugiesischem Vokabular sein, denn meine email-Adresse hat ein "pt" .. aber irgendwie habe ich es immer zurechtgebogen bekommen, mit deutschem oder englischem Windows zu arbeiten, schon allein, weil ich sonst alles aus dem portugiesischen ins deutsche übersetzen müsste.. und das ist sehr schwer, nur googeln und viel Geduld hilft....
Warum also willst du in den Editor ?

ich hab noch mal geschaut: also: mit rechtsklick auf C:\ klicken - wähle : propriedades (?) - dann findest du den Disk-CleanUp


__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/