TR/Vundo.gc wie entfernen?

#0
17.02.2008, 15:16
...neu hier

Beiträge: 3
#1 HAllo, ich habe folgendes problem,hab den trojaner TR/Vundo.gc auf meinem pc.hab zwar schon viel gelesen was ich machen kann,kenn mich aber nicht so mit pc s aus. habe anti vir drauf der mir immer alles anzeigt ich kann den trojaner weder in carantäne verschieben noch löschen,immer wieder öffnen sich neue fund fenster.mit avast hat es auch nicht geklappt. vundofix hat auch nichts bewirkt versuch das damit schon seit heute nacht.kann mir jemand bitte einfach" erklären wie ich den entfernen kann?weiß nicht mehr was ich machen soll!!!

C:/windows/system32//Ljjki.dll
Seitenanfang Seitenende
17.02.2008, 16:04
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo flyaway

wende bitte Combofix an (vorher CCleaner, ist auch auf der Seite von Combofix verlinkt) + poste hier den report von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 16:06
...neu hier

Themenstarter

Beiträge: 3
#3 war da schon drauf,hab angst das nachher mein kompletter pc gelöscht wird und weiß auch garnicht wo ich wie was deaktivieren kann kenn mich garnicht aus.....
Seitenanfang Seitenende
17.02.2008, 16:08
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Kompletten PC löschen ?? Bitte ?? ;)
entferne die temporären Dateien mit CCleaner, dann wende Combofix an
http://virus-protect.org/artikel/tools/combofix.html
+ poste den Report

http://www.ccleaner.de/?protecus.de


__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 16:34
...neu hier

Themenstarter

Beiträge: 3
#5 hab den cleener jetzt dann analysiert und wenn ich aufcleener starten steht da das alle datein gelöscht werden und da soll ich dann ok machen?
Seitenanfang Seitenende
17.02.2008, 17:08
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 na klar... es werden nur die temp-Dateien geloescht...
setze die häkchen so, wie oben auf dem Bild.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
18.02.2008, 19:16
...neu hier

Beiträge: 1
#7 Hallo,
hab auch das Problem mit diesem Virus! Ich hab das jetzt bisher so alles gemacht, wie du das aufgeführt hast Pinguin.
Tut mir leid, dass ich hier jetzt einfach mein log poste, aber ich weiß nicht mehr weiter.

Also dieser Log kam dabei raus:

ComboFix 08-02-18.1 - Christian Fuchs 2008-02-18 18:52:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.80 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Christian Fuchs\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\qomnkhg.dll
C:\WINDOWS\system32\gjkmp.ini
C:\WINDOWS\system32\gjkmp.ini2
C:\WINDOWS\system32\qomnkhg.dll
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-18 bis 2008-02-18 ))))))))))))))))))))))))))))))
.

2008-02-18 18:39 . 2008-02-18 18:39 <DIR> d-------- C:\Programme\CCleaner
2008-02-18 15:03 . 2008-02-18 15:03 <DIR> d-------- C:\VundoFix Backups
2008-02-16 17:43 . 2008-02-16 17:43 <DIR> d-------- C:\Programme\Avira
2008-02-16 17:43 . 2008-02-16 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-16 16:57 . 2008-02-16 16:57 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2008-02-16 16:35 . 2008-02-16 16:35 <DIR> d-------- C:\WINDOWS\provisioning
2008-02-16 16:35 . 2008-02-16 16:35 <DIR> d-------- C:\WINDOWS\peernet
2008-02-16 16:32 . 2008-02-16 16:32 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-02-16 16:26 . 2004-08-03 22:42 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-16 16:22 . 2008-02-16 16:22 <DIR> d-------- C:\WINDOWS\EHome
2008-02-16 15:05 . 2008-02-16 15:55 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-16 12:24 . 2008-02-16 12:24 164 --a------ C:\install.dat
2008-02-10 13:24 . 2008-02-10 13:24 <DIR> d-------- C:\Programme\MSXML 4.0
2008-02-04 13:22 . 2004-08-04 00:58 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2008-02-04 13:22 . 2004-08-02 14:20 7,208 --------- C:\WINDOWS\system32\secupd.sig
2008-02-04 13:22 . 2004-08-02 14:20 4,569 --------- C:\WINDOWS\system32\secupd.dat
2008-02-03 19:09 . 2008-02-16 15:26 <DIR> d-------- C:\Programme\a-squared Free
2008-02-02 16:22 . 2008-02-02 16:22 <DIR> d-------- C:\Programme\Sunbelt Software
2008-02-02 15:21 . 2004-08-04 08:57 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2008-02-02 15:21 . 2004-08-04 08:57 334,336 --a------ C:\WINDOWS\system32\ipnathlp.dll
2008-02-02 15:21 . 2004-08-04 08:58 266,240 --a------ C:\WINDOWS\system32\h323.tsp
2008-02-02 15:21 . 2004-08-04 08:57 77,312 --a------ C:\WINDOWS\system32\browser.dll
2008-02-02 15:21 . 2004-03-30 02:26 40,960 -----c--- C:\WINDOWS\system32\dllcache\evtgprov.dll
2008-02-02 15:21 . 2004-08-04 08:57 39,936 --a------ C:\WINDOWS\system32\mf3216.dll
2008-02-02 15:16 . 2004-08-04 08:57 242,176 --a------ C:\WINDOWS\system32\srrstr.dll
2008-02-02 12:55 . 2008-02-02 12:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-01-29 17:56 . 2008-01-29 17:56 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-29 17:56 . 2008-01-29 17:56 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-01-29 17:53 . 2008-02-02 15:21 <DIR> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2008-01-29 17:53 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-01-29 15:55 . 2008-01-29 15:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\T-Online
2008-01-28 13:04 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-28 13:04 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-19 12:37 . 2008-01-19 12:37 <DIR> d-------- C:\Dokumente und Einstellungen\Christian Fuchs\Anwendungsdaten\AVS4YOU
2008-01-19 12:37 . 2008-01-19 12:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-01-19 12:35 . 2008-02-02 12:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-18 15:38 . 2008-01-18 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-01-18 15:36 . 2008-02-02 14:55 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-01-18 14:26 . 2004-08-04 08:57 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-18 14:26 . 2004-08-04 08:57 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-18 14:26 . 2004-08-04 08:57 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-01-18 14:26 . 2004-08-04 08:57 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-01-18 14:24 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-01-18 14:24 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-01-18 14:24 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-01-18 14:24 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-01-18 14:24 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-18 14:24 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-01-18 14:24 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-18 14:24 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-18 14:24 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-16 16:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-16 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-10 14:25 52,736 ----a-w C:\WINDOWS\Nail.exe
2008-02-03 19:32 --------- d-----w C:\Programme\Ascentive
2008-01-02 14:44 103,472 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-24 13:38 45,217 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\Anwendungsdaten\mdb.bin
2006-11-20 15:13 822 ----a-w C:\Programme\CtrlMappings.ini
2006-10-25 13:17 720,896 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\EAInstall.dll
2006-10-25 13:17 625,035,295 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\0compressed.zip
2006-10-25 13:17 569,344 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\AutoRun.exe
2006-10-25 13:17 528,384 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\AutoRunGUI.dll
2006-10-25 13:17 380,928 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\server.dll
2006-10-25 13:17 348,160 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\msvcr71.dll
2006-10-25 13:17 258 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\dat.bin
2006-10-25 13:17 253,952 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\eauninstall.exe
2006-10-25 13:17 22,016 ----a-w C:\Dokumente und Einstellungen\Christian Fuchs\setup.exe
2006-09-28 15:22 91,265 ----a-w C:\Programme\OCT2006_xinput_x64.cab
2006-09-28 15:22 49,149 ----a-w C:\Programme\OCT2006_xinput_x86.cab
2006-09-28 15:21 41,996 ----a-w C:\Programme\dxdllreg_x86.cab
2006-09-28 15:21 183,321 ----a-w C:\Programme\OCT2006_XACT_x64.cab
2006-09-28 15:21 138,977 ----a-w C:\Programme\OCT2006_XACT_x86.cab
2006-09-28 15:21 1,413,862 ----a-w C:\Programme\OCT2006_d3dx9_31_x64.cab
2006-09-28 15:21 1,128,177 ----a-w C:\Programme\OCT2006_d3dx9_31_x86.cab
2006-03-18 11:13 174 ---ha-w C:\Dokumente und Einstellungen\Christian Fuchs\hpothb07.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C444E8A5-29BF-C46C-8C96-4C09B8A5D982}]
C:\WINDOWS\System32\FYI\vrnwpbqkuh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D3C0B8BB-E7CA-4BAA-8EA7-49481505E8DA}]
C:\WINDOWS\System32\pmkjg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BD"="" []
"BCalReminder"="C:\Programme\printFIT\Kalender-Druckpaket\Reminder.exe" [ ]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50 671796]
"Device Detection"="C:\Programme\Plus\Fotoservice\dd.exe" [ ]
"fxshgr"="C:\WINDOWS\System32\fxshgr.exe" [ ]
"Windows Compliant"="anxxfd.exe" []
"Registry Checkup System326a Monitor"="Winregs326a.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2001-11-15 11:08 1216512 C:\WINDOWS\mixer.exe]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 08:58 33792 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2002-01-15 15:06 299008 C:\WINDOWS\system32\nwiz.exe]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [2001-10-04 15:47 331830]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 15:46 28738]
"routcnf"="C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe" [ ]
"Registry Checkup System326a Monitor"="Winregs326a.exe" []
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 04:19 69632]
"Windows Compliant"="anxxfd.exe" []
"Htnvcv"="C:\Program Files\Hdjek\Vhqp.exe" [ ]
"rgor"="C:\windows\mrjj.exe" [ ]
"T-DSL SpeedMgr"="C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" [2006-02-09 16:15 765952]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2002-01-25 08:21 26112]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 10:04 282624]
"NI.UGESU_0001_N122M2811"="C:\Dokumente und Einstellungen\Christian Fuchs\Eigene Dateien\setup_de.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-16 17:47 249896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Compliant"="anxxfd.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
"Windows Compliant"="anxxfd.exe" []
"Registry Checkup System326a Monitor"="Winregs326a.exe" []
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 13:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50 671796]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"fxshgr"= C:\WINDOWS\System32\fxshgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avpi32]
avpi32.dll

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 13:46]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R2 CAPI20;Eumex 504PC USB;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2001-12-09 14:52]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2001-09-18 16:46]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 16:16]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2002-01-29 23:42]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2002-01-29 23:42]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
R3 ham50;V9X HAM 1394V;C:\WINDOWS\system32\DRIVERS\CTXH51.sys [2001-08-04 16:50]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 08:14]
R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2005-12-01 13:38]
S1 avpi64;TCPIP2 Kernel;C:\WINDOWS\System32\avpi64.sys []
S2 avpi32;TCPIP2 Kernel32;C:\WINDOWS\System32\avpi64.sys []
S2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys []
S2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys []
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [2006-11-21 15:46]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46]
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2005-11-01 10:30]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 19:04:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\\WLAN-Access Finder"="\"C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe\" /StartMinimized"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-18 19:09:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-18 18:09:14
.
2008-02-16 15:48:50 --- E O F ---


Ist der Virus jetzt weg? Bisher habe ich keine neuen Meldungen bekommen.
Seitenanfang Seitenende
19.02.2008, 00:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Christian.F

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

avpi64

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

«
in: "Enter search strings" (reinschreiben oder reinkopieren)

avpi32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

--------------------------------------------------------------
1.
wende Haxfix an
http://virus-protect.org/artikel/tools/haxfix.html

Option "1" - es wird ein Log erstellt, jedoch nichts gelöscht

Option "2" - Run auto fix" - 2 eingeben, und ENTER drücken

Nach dem Neuaufstarten wird die Logfile geöffnet (c:\goldunlog.txt) - hier posten bitte

---------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpi32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpi32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpi32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpi32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpi32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpi32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpi32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpi32.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpi32]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avpi64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avpi64]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avpi64]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpi64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avpi64]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Device Detection"=-
"fxshgr"=-
"Windows Compliant"=-
"Registry Checkup System326a Monitor"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Registry Checkup System326a Monitor"=-
"Windows Compliant"=-
"Htnvcv"=-
"rgor"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Compliant"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Compliant"=-
"Registry Checkup System326a Monitor"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avpi32]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C444E8A5-29BF-C46C-8C96-4C09B8A5D982}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D3C0B8BB-E7CA-4BAA-8EA7-49481505E8DA}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"fxshgr"=-

Driver::
avpi64
avpi32

File::
C:\WINDOWS\System32\avpi32.dll
C:\WINDOWS\System32\avpi64.sys
C:\WINDOWS\System32\avpi32.sys
C:\WINDOWS\System32\fxshgr.exe
C:\WINDOWS\Nail.exe
C:\windows\mrjj.exe

Folder::
C:\VundoFix Backups
C:\WINDOWS\System32\FYI
C:\Program Files\Hdjek
boote in den abgesicherten Modus

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
danach: Combofix noch einmal anwenden - tippe 1



««««««

PC neustarten

»»
scanne
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

Sophos Anti-Rootkit
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

-----------------------------------------------------------------------

»»
poste das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: