Vundo bringt mich um den Verstand!!!

#0
16.02.2008, 07:20
Member

Beiträge: 15
#1 Hi liebe Leute! Dieser vundo scheint jedes Mal individuell zu bekämpfen zu sein. Auch ich habe mir dieses Ding eingefangen bei einem download. Ich weiß, selbst schuld. War ein wenig unachtsam. Könnte mir bitte jemand behilflich sein? hier mein hjt log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:09:40, on 16.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Desktop Tray Clock\DTClock.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {23D44BCF-AA7A-41D6-8905-E808F16322EF} - C:\WINDOWS\system32\ddccyya.dll
O2 - BHO: (no name) - {273BFC48-0285-483F-8D42-A19B3E7EAD9D} - (no file)
O2 - BHO: (no name) - {5AC1E700-3E52-4FE2-8C96-3331BED13F27} - (no file)
O2 - BHO: (no name) - {67D16FE7-F991-4B0C-A425-096D1714D795} - C:\WINDOWS\system32\byxxy.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D3C5E3D2-E38E-484E-81AE-4EF86621E4D4} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Desktop Tray Clock\DTClock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5088 bytes
Seitenanfang Seitenende
16.02.2008, 08:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {23D44BCF-AA7A-41D6-8905-E808F16322EF} - C:\WINDOWS\system32\ddccyya.dll
O2 - BHO: (no name) - {273BFC48-0285-483F-8D42-A19B3E7EAD9D} - (no file)
O2 - BHO: (no name) - {5AC1E700-3E52-4FE2-8C96-3331BED13F27} - (no file)
O2 - BHO: (no name) - {67D16FE7-F991-4B0C-A425-096D1714D795} - C:\WINDOWS\system32\byxxy.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D3C5E3D2-E38E-484E-81AE-4EF86621E4D4} - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “ RunMe .cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet, das cmd-fenster von RVAXO oeffnet sich von neuem
Und warte bis ein logfile sich oeffnet:C:\ RVAXO-results.log
Poste dessen inhalt hier ins Forum
Wenn dein Rechner nicht neu startet mach es manuel sowie auch RunMe .cmd

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

datfindbat
Download datFindbat zum Desktop

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere den Inhalt bis auf 3 Monate im Thread

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in Windows\System32\ , Downloaded Program Files\ , Windows\ und C:\ und den temporären Dateien befindet.
__________
MfG Argus
Seitenanfang Seitenende
16.02.2008, 10:05
Member

Themenstarter

Beiträge: 15
#3 RVAXO log:

---RVAXO.exe Updated: 2008-02-15---first run---
Files found:
C:\WINDOWS\system32\dcefe.ini2
C:\WINDOWS\system32\efecd.dll_old

Uninstallers:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------


combofix log:

ComboFix 08-02-16.2 - Administrator 2008-02-16 9:55:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.161 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ecdsr.dat
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ecdsr_nav.dat
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ecdsr_navps.dat
C:\WINDOWS\system32\dcefe.ini
C:\WINDOWS\system32\ddccyya.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-16 bis 2008-02-16 ))))))))))))))))))))))))))))))
.

2008-02-16 09:48 . 2008-02-16 09:49 <DIR> d-------- C:\RVAXO
2008-02-16 09:45 . 2008-02-15 20:22 696,538 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-02-16 09:45 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-02-16 06:57 . 2008-02-16 06:58 <DIR> d-------- C:\Programme\CleanUp!
2008-02-16 06:54 . 2008-02-16 06:54 <DIR> d-------- C:\Programme\Trend Micro
2008-02-16 06:23 . 2008-02-16 06:23 <DIR> d-------- C:\Programme\Lavasoft
2008-02-16 06:23 . 2008-02-16 06:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-15 21:42 . 2008-02-15 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FileZilla
2008-02-15 21:41 . 2008-02-15 21:41 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-02-14 19:25 . 2008-02-14 19:28 <DIR> d-------- C:\Programme\XPcleanv5
2008-02-14 18:49 . 2008-02-14 18:51 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-02-14 13:34 . 2008-02-16 06:47 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-12 21:37 . 2008-02-12 21:37 <DIR> d-------- C:\Programme\Free WMA to MP3 Converter
2008-02-11 00:30 . 2008-02-11 00:30 <DIR> d-------- C:\Programme\PokerStars.NET
2008-02-10 23:52 . 2008-02-10 20:45 203 --a------ C:\bootini.uns
2008-02-10 21:00 . 2008-02-11 00:09 182,304 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-10 21:00 . 2008-02-11 00:09 4,256 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-10 20:46 . 2008-02-10 23:51 0 --a------ C:\23990098.$$$
2008-02-10 20:45 . 2008-02-11 00:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-02-10 20:45 . 2008-02-10 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-10 17:32 . 2008-02-16 06:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-01 07:35 . 2008-02-01 12:28 38 --a------ C:\WINDOWS\avisplitter.INI
2008-01-31 01:22 . 2008-01-31 01:40 <DIR> d-------- C:\WOLF3D
2008-01-30 20:39 . 2008-01-30 20:39 <DIR> d-------- C:\Programme\MP3SPLITTER
2008-01-30 12:09 . 2008-01-30 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-01-30 12:09 . 2008-01-30 12:09 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-01-29 18:54 . 2008-02-06 00:14 230,424 --a------ C:\img1-001.raw
2008-01-29 18:51 . 2004-08-04 00:58 16,384 --a------ C:\WINDOWS\system32\ipsink.ax
2008-01-29 18:51 . 2004-08-04 00:58 16,384 --a--c--- C:\WINDOWS\system32\dllcache\ipsink.ax
2008-01-29 18:51 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2008-01-29 18:51 . 2004-08-03 23:10 15,360 --a--c--- C:\WINDOWS\system32\dllcache\streamip.sys
2008-01-29 18:51 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2008-01-29 18:51 . 2004-08-03 23:10 11,136 --a--c--- C:\WINDOWS\system32\dllcache\slip.sys
2008-01-29 18:51 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2008-01-29 18:51 . 2004-08-03 23:10 10,880 --a--c--- C:\WINDOWS\system32\dllcache\ndisip.sys
2008-01-29 18:51 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2008-01-29 18:51 . 2004-08-03 22:58 5,504 --a--c--- C:\WINDOWS\system32\dllcache\mstee.sys
2008-01-29 18:50 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2008-01-29 18:50 . 2004-08-03 23:10 85,376 --a--c--- C:\WINDOWS\system32\dllcache\nabtsfec.sys
2008-01-29 18:50 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2008-01-29 18:50 . 2004-08-03 23:10 19,328 --a--c--- C:\WINDOWS\system32\dllcache\wstcodec.sys
2008-01-29 18:50 . 2004-08-03 23:10 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2008-01-29 18:50 . 2004-08-03 23:10 17,024 --a--c--- C:\WINDOWS\system32\dllcache\ccdecode.sys
2008-01-29 18:49 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-01-29 18:49 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-01-29 18:49 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-01-29 18:49 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-01-29 18:49 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-01-29 18:49 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-01-29 18:49 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-01-29 18:49 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-01-29 18:47 . 2005-10-11 13:54 339,968 --a------ C:\WINDOWS\vsnpstd.exe
2008-01-29 18:47 . 2002-07-03 11:44 53,248 --a------ C:\WINDOWS\amcap.exe
2008-01-29 18:47 . 2005-12-06 13:08 20,480 --a------ C:\WINDOWS\CameraFixer.exe
2008-01-29 18:47 . 2003-01-17 17:34 15,541 --a------ C:\WINDOWS\snpstd.ini
2008-01-29 18:47 . 2003-01-17 17:35 13,023 --a------ C:\WINDOWS\snpstd.src
2008-01-29 18:46 . 2008-01-29 18:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd
2008-01-29 18:46 . 2005-11-18 10:44 390,656 --a------ C:\WINDOWS\system32\drivers\snpstd.sys
2008-01-29 18:46 . 2005-04-20 17:34 61,440 --a------ C:\WINDOWS\system32\rsnpstd.dll
2008-01-29 18:46 . 2004-02-16 13:59 61,440 --a------ C:\WINDOWS\system32\csnpstd.dll
2008-01-29 18:46 . 2005-04-20 17:16 36,864 --a------ C:\WINDOWS\system32\vsnpstd.dll
2008-01-29 18:46 . 2005-10-19 19:22 36,864 --a------ C:\WINDOWS\system32\dsnpstd.ax
2008-01-29 18:46 . 2005-02-01 19:29 20,480 --a------ C:\WINDOWS\usnpstd.exe
2008-01-27 20:48 . 1999-10-15 12:50 1,056,768 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2008-01-27 20:48 . 1999-01-28 15:44 49,152 --a------ C:\WINDOWS\system32\INETWH32.dll
2008-01-27 20:37 . 2008-01-27 20:37 482 --ah----- C:\os466477.bin
2008-01-27 20:37 . 2008-01-27 20:37 462 --ah----- C:\WINDOWS\system32\ws344069.ocx
2008-01-25 21:19 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-01-25 21:19 . 2004-08-04 00:57 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-01-25 21:18 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-01-25 21:18 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-01-25 21:18 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-01-25 21:18 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-01-24 20:10 . 2008-01-24 20:10 1 --a------ C:\s_pov.bin
2008-01-24 16:27 . 1998-09-02 09:02 194,320 --a------ C:\WINDOWS\system32\qcut.dll
2008-01-24 16:27 . 1998-08-27 05:51 182,032 --a------ C:\WINDOWS\system32\dxtmsft3.dll
2008-01-24 16:27 . 1998-08-20 12:02 140,800 --a------ C:\WINDOWS\system32\tm20dec.ax
2008-01-24 16:27 . 1998-09-02 09:28 63,488 --a------ C:\WINDOWS\system32\unam4ie.exe
2008-01-24 16:27 . 1998-09-02 09:28 38,160 --a------ C:\WINDOWS\system32\LMRTREND.dll
2008-01-24 16:27 . 1998-08-17 10:21 11,776 --a------ C:\WINDOWS\system32\mciqtz.drv
2008-01-24 16:27 . 1998-08-17 10:21 10,240 --a------ C:\WINDOWS\system32\vidx16.dll
2008-01-24 16:27 . 1998-08-17 10:21 5,672 --a------ C:\WINDOWS\system32\quartz.vxd
2008-01-21 09:55 . 2008-01-21 09:57 <DIR> d-------- C:\Programme\Cheatbook Database 2008
2008-01-19 15:58 . 2005-01-28 08:53 5,525,504 --a------ C:\WINDOWS\system32\setb2.tmp
2008-01-16 18:53 . 2008-01-16 19:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GetRightToGo
2008-01-16 11:34 . 2008-01-16 11:34 <DIR> d-------- C:\Programme\Ulead.dat
2008-01-16 11:34 . 2008-02-14 15:27 92 --a------ C:\WINDOWS\Wininit.ini
2008-01-16 11:31 . 2008-01-16 11:49 31,508 --a------ C:\WINDOWS\system32\gaeffect.sti
2008-01-16 11:31 . 2008-01-27 20:49 12,968 --a------ C:\WINDOWS\system32\gafilter.sti
2008-01-16 11:30 . 2008-01-16 11:30 <DIR> d-------- C:\WINDOWS\PreviewSoft
2008-01-16 11:30 . 2008-01-16 11:30 <DIR> d-------- C:\WINDOWS\Noslip
2008-01-16 11:30 . 2008-02-13 16:34 326 --a------ C:\WINDOWS\ULEAD32.INI
2008-01-16 06:45 . 2008-01-16 06:45 <DIR> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-16 05:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-12 10:49 --------- d-----w C:\Programme\PartyGaming.Net
2008-02-11 22:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-29 20:46 30,064 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-29 17:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-29 17:46 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-17 10:15 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2008-01-16 10:30 --------- d-----w C:\Programme\Ulead Systems
2008-01-15 12:11 --------- d-----w C:\Programme\Ligos
2008-01-14 14:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-01-13 11:57 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-07 07:35 151,744 ----a-w C:\WINDOWS\system32\ir32.dll
2008-01-07 07:18 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-01-06 17:39 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-01-06 17:38 306,432 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-01-06 17:38 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-01-06 17:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-06 16:43 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Auslogics
2008-01-06 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Macromedia
2008-01-06 15:15 --------- d-----w C:\Programme\Macromedia
2008-01-05 12:31 --------- d-----w C:\Programme\Music Express
2008-01-05 11:05 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mp3tag
2008-01-05 10:55 --------- d-----w C:\Programme\Mp3tag
2008-01-02 12:53 --------- d-----w C:\Programme\phase5
2007-12-31 18:28 --------- d-----w C:\Programme\MP3Gain
2007-12-31 16:44 --------- d-----w C:\Programme\Risk
2007-12-31 16:42 --------- d-----w C:\Programme\Java
2007-12-31 16:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-12-31 12:04 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skullbyte
2007-12-31 11:46 --------- d-----w C:\Programme\zzdarts
2007-12-25 13:04 --------- d-----w C:\Programme\DAEMON Tools
2007-12-25 13:00 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-24 12:49 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2007-12-20 18:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2007-12-20 18:25 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Zylom
2007-12-20 09:41 29,440 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-17 13:07 --------- d-----w C:\Programme\MSN Messenger
2007-12-17 13:07 --------- d-----w C:\Programme\Messenger Plus! Live
2007-12-07 01:06 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\divx.dll
2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"SkinClock"="C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Desktop Tray Clock\DTClock.exe" [2006-08-18 19:26 1712128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-26 16:56 249896]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 17:26 283136]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-10-10 06:28 36352]
"CameraFixer"="C:\WINDOWS\CameraFixer.exe" [2005-12-06 13:08 20480]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2005-10-11 13:54 339968]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-01-26 01:00]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 09:05]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-01-26 01:00]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 04:27]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-06 18:38]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-02-15 16:03:30 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-16 09:57:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-16 9:59:00
ComboFix-quarantined-files.txt 2008-02-16 08:58:36
.
2008-02-14 17:56:20 --- E O F ---



datfind log:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DC6F-E1EC

Verzeichnis von C:\WINDOWS\system32

15.02.2008 20:22 696.538 RVAXO.bat
14.02.2008 17:47 2.206 wpa.dbl
14.02.2008 17:46 300.440 FNTCACHE.DAT
14.02.2008 00:12 1.744 d3d9caps.dat
05.02.2008 00:09 18.214.008 MRT.exe
30.01.2008 12:09 34.064 lhacm.acm
29.01.2008 12:25 1.632 d3d8caps.dat
27.01.2008 20:49 12.968 gafilter.sti
27.01.2008 20:37 462 ws344069.ocx
24.01.2008 16:27 16.832 amcompat.tlb
24.01.2008 16:27 23.392 nscompat.tlb
16.01.2008 11:49 31.508 gaeffect.sti
07.01.2008 08:35 151.744 ir32.dll
06.01.2008 18:38 306.432 TuneUpDefragService.exe
03.01.2008 19:47 49.152 Vfind.exe
31.12.2007 17:42 5.686 jupdate-1.6.0_03-b05.log
24.12.2007 13:49 7.680 ff_vfw.dll
20.12.2007 10:41 29.440 uxtuneup.dll
12.12.2007 01:07 266.294 TZLog.log
07.12.2007 15:36 3.080.192 mshtml.dll
07.12.2007 02:06 665.088 wininet.dll
07.12.2007 02:06 474.624 shlwapi.dll
07.12.2007 02:06 617.472 urlmon.dll
07.12.2007 02:06 1.494.528 shdocvw.dll
07.12.2007 02:06 39.424 pngfilt.dll
07.12.2007 02:06 532.480 mstime.dll
07.12.2007 02:06 146.432 msrating.dll
07.12.2007 02:06 449.024 mshtmled.dll
07.12.2007 02:06 357.888 dxtmsft.dll
07.12.2007 02:06 251.392 iepeers.dll
07.12.2007 02:06 55.808 extmgr.dll
07.12.2007 02:06 205.312 dxtrans.dll
07.12.2007 02:06 16.384 jsproxy.dll
07.12.2007 02:06 96.768 inseng.dll
07.12.2007 02:06 1.056.256 danim.dll
07.12.2007 02:06 152.064 cdfview.dll
07.12.2007 02:06 1.023.488 browseui.dll
07.12.2007 00:40 373.760 xpsp3res.dll
04.12.2007 19:40 550.912 oleaut32.dll
04.12.2007 02:33 682.496 divx.dll


Und jetzt schon mal vielen Dank für die schnelle Hilfe! Das eine oder andere Problem löse ich ja selbst, aber das war dann doch zu viel für mich und meine Nerven... hab sogar wieder angefangen zu rauchen *lol*

Moo
Seitenanfang Seitenende
16.02.2008, 10:22
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf C:\Programme\Gemeinsame Dateien\MicroWorld

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Ewido Micro
Scanne mit Ewido Micro
Danach wähle remove infections

Edit:suche bitte C:\WINDOWS\wininit.ini - mit rechtem mausklick draufklicken - mit Texteditor öffnen - poste hier, was erscheint

Du weisst doch Rauchen ist slecht
Und die kosten........ bei uns fuer 19stueck €4
__________
MfG Argus
Seitenanfang Seitenende
16.02.2008, 11:33
Member

Themenstarter

Beiträge: 15
#5 ewido läuft und läuft und läuft...

Hier schon mal die wininit.ini....

[rename]
nul=c:\tempjunk9527.tmp
c:\tempjunk9527.tmp=C:\WINDOWS\system32\efecd.dll_old

Ich schätze mal, da muß ich noch was löschen, oder?

Und rauchen hör ich morgen wieder auf... oh Gott meine Nerven *g*
Seitenanfang Seitenende
16.02.2008, 12:18
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

Zitat

C:\WINDOWS\wininit.ini
im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
16.02.2008, 12:45
Member

Themenstarter

Beiträge: 15
#7 Die Virensuche war ergebnislos *schwitz*

zum OTMoveIt... soll ich die gesamten Einträge der wininit.ini hineinkopieren? Also nul=c:\tempjunk9527.tmp
c:\tempjunk9527.tmp=C:\WINDOWS\system32\efecd.dll_old <--- das da?
Seitenanfang Seitenende
16.02.2008, 13:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Nur C:\WINDOWS\wininit.ini ;)
__________
MfG Argus
Seitenanfang Seitenende
16.02.2008, 13:07
Member

Themenstarter

Beiträge: 15
#9 C:\WINDOWS\wininit.ini moved successfully.

OTMoveIt2 v1.0.20 log created on 02162008_130450

Auch feddich... wie lange muss ich Dich noch nerven? *lol*
Seitenanfang Seitenende
16.02.2008, 13:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Starte nochmal OTMoveIt und klicke den CleanUp knopf
Mich nerven? geht nicht,ich schau nach draussen und da scheint die Sonne!
__________
MfG Argus
Seitenanfang Seitenende
16.02.2008, 13:36
Member

Themenstarter

Beiträge: 15
#11 Erledigt...

Ja, hier scheint sie auch... aber es ist verdammt kalt da draußen...
Seitenanfang Seitenende
16.02.2008, 13:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Bei uns auch,Schönes wochenende noch und gruesse aus Holland
__________
MfG Argus
Seitenanfang Seitenende
16.02.2008, 13:57
Member

Themenstarter

Beiträge: 15
#13 Das war´s? Super! Vielen vielen Dank und Grüße aus Bayern nach Holland!!!
Schönes Wochenende!!!

Gruß Moo
Seitenanfang Seitenende