TR/Vundo.AG Trojaner... Wie entfernen?

#16 Hallo

scanne mit F-secure/Onlinescan
+poste den report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#17 Hier nun der Report...


Scanning Report
Saturday, March 22, 2008 09:41:32 - 10:30:16

Computer name: AXEL
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 3 malware found
Tracking Cookie (spyware)

* System

Virus:W32/Xorer.EL (virus)

* D:\PROGRAMME\BENUTZER SOFTWARE\TCMDR601.EXE (Submitted)
* D:\PROGRAMME\BENUTZER SOFTWARE\WINDOWS TC V6.10\TCMDR601.EXE (Submitted)

Statistics
Scanned:

* Files: 35391
* System: 2891
* Not scanned: 8

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 3
* Submitted: 2

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{E64754F7-5778-411A-9FE3-8ED92EEDEEAF}.BIN
* C:\DOKUMENTE UND EINSTELLUNGEN\AXELRUSH\ANWENDUNGSDATEN\ICQ\APPLICATION.MDB

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Blacklight: 1.0.64
* F-Secure Hydra: 2.8.8110, 2008-03-21
* F-Secure Pegasus: 1.20.0, 2008-02-20
* F-Secure AVP: 7.0.171, 2008-03-21

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

#18 aXELrUSH

mache zur Sicherheit noch einen Onlinescan mit Bitdefender + poste den Report
http://board.protecus.de/t8642.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#19 Der hat aber noch 'ne Menge gefunden...


BitDefender Online Scanner

Infected with: Trojan.Vundo.DVS

C:\QooBox\Quarantine\C\WINDOWS\system32\ijkkj.ini.vir


Disinfection failed

C:\QooBox\Quarantine\C\WINDOWS\system32\ijkkj.ini.vir


Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\ijkkj.ini2.vir


Infected with: Trojan.Vundo.DVS

C:\QooBox\Quarantine\C\WINDOWS\system32\ijkkj.ini2.vir


Disinfection failed

C:\QooBox\Quarantine\C\WINDOWS\system32\ijkkj.ini2.vir


Deleted

C:\QooBox\Quarantine\catchme2008-03-21_124358.59.zip=>iiffeda.dll


Infected with: Trojan.Vundo.EDG

C:\QooBox\Quarantine\catchme2008-03-21_124358.59.zip=>iiffeda.dll


Deleted

C:\QooBox\Quarantine\catchme2008-03-21_124358.59.zip


Updated

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP22\A0002130.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP22\A0002130.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP22\A0002130.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP22\A0002137.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP22\A0002137.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP22\A0002137.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002188.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002188.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002188.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002198.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002198.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002198.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002844.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002844.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP23\A0002844.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP24\A0002923.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP24\A0002923.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP24\A0002923.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP24\A0002935.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP24\A0002935.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP24\A0002935.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP25\A0003036.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP25\A0003036.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP25\A0003036.ini


Deleted

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP27\A0003168.ini


Infected with: Trojan.Vundo.DVS

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP27\A0003168.ini


Disinfection failed

C:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP27\A0003168.ini


Deleted

D:\Downloads\progs\NetPumper-1.50-setup-0165.exe


Detected with: Adware.LOP.BI

D:\Downloads\progs\NetPumper-1.50-setup-0165.exe


Deleted

D:\Programme\BENUTZER SOFTWARE\tc_v6.1.zip=>tc32_v601_pro_activator.exe


Detected with: Application.Aseye.ANI

D:\Programme\BENUTZER SOFTWARE\tc_v6.1.zip=>tc32_v601_pro_activator.exe


Disinfection failed

D:\Programme\BENUTZER SOFTWARE\tc_v6.1.zip=>tc32_v601_pro_activator.exe


Deleted

D:\Programme\BENUTZER SOFTWARE\tc_v6.1.zip


Updated

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1\tc32_v601_pro_activator.exe


Detected with: Application.Aseye.ANI

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1\tc32_v601_pro_activator.exe


Disinfection failed

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1\tc32_v601_pro_activator.exe


Deleted

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1.zip=>tc32_v601_pro_activator.exe


Detected with: Application.Aseye.ANI

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1.zip=>tc32_v601_pro_activator.exe


Disinfection failed

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1.zip=>tc32_v601_pro_activator.exe


Deleted

D:\Programme\BENUTZER SOFTWARE\WINDOWS TC V6.10\tc_v6.1.zip


Updated

D:\Programme\MICROSOFT XP SOFTWARE\Styl XP\kg-stylexp10.exe


Detected with: Application.Crack.Stylexp.B

D:\Programme\MICROSOFT XP SOFTWARE\Styl XP\kg-stylexp10.exe


Disinfection failed

D:\Programme\MICROSOFT XP SOFTWARE\Styl XP\kg-stylexp10.exe


Deleted

D:\Programme\reconnect\reconnect\reconnect.exe


Infected with: Trojan.Autoit.L

D:\Programme\reconnect\reconnect\reconnect.exe


Deleted

D:\Programme\reconnect.rar=>reconnect\reconnect.exe


Infected with: Trojan.Autoit.L

D:\Programme\reconnect.rar=>reconnect\reconnect.exe


Deleted

D:\Programme\reconnect.rar


Update failed

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003845.exe


Detected with: Adware.LOP.BI

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003845.exe


Deleted

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003846.exe


Detected with: Application.Aseye.ANI

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003846.exe


Disinfection failed

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003846.exe


Deleted

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003847.exe


Detected with: Application.Crack.Stylexp.B

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003847.exe


Disinfection failed

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003847.exe


Deleted

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003848.exe


Infected with: Trojan.Autoit.L

D:\System Volume Information\_restore{7D977D23-B3AA-4C7C-8903-342E25E092FA}\RP35\A0003848.exe


Deleted

#20 Hallo aXELrUSH

1.
otmoveIt
klicken: CleanUp! button

2.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://www.virus-protect.org/systemwiederherstellung.html

dann wieder aktivieren

3.
scanne noch mal mit Bitdefender + berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Sollte ich die Systemwiederherstellung nur deaktivieren und dann aktivieren um die Wiederherstellungspunkte zu löschen, damit die Viren, Trojaner und was ich da so alles hatte, nicht mit wiederhergestellt werden könne???
Habs jetzt bloß einmal deaktiviert und dann wieder aktiviert!!!
Und lass jetzt noch Bitdefender laufen....

Danke für deine Hilfe!!!!

So hier der Report!!!

D:\Programme\reconnect.rar=>reconnect\reconnect.exe
Infected with: Trojan.Autoit.L
D:\Programme\reconnect.rar=>reconnect\reconnect.exe
Deleted
D:\Programme\reconnect.rar
Update failed


Hab diese reconnect Dateien gelöscht und dann den Papierkorb mit dem "TuneUP Shredder" geleert...

#22 dann ist wieder alles o.k.
Alles Gute...bis zum nächsten Mal...
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Wunderbar, dann dank ich euch für alles und wünsch euch schöne Ostern!!!!

#24 ich hab bei mir auch schon einiges an den hier vorgeschlagenen methoden versucht
um den TR/Vundo.AG zu beseitigen aber leider kein erfolg gehabt (d.h. der virus kommt alle hlabe stunde erneut)da die infizierte datei (glaube ich zumindest) nnnmkhh.dll nicht gelöscht werden kann
(hab antivir; bit defender konnte die datei nicht löschen; otmoveit2.exe hat nichts gefunden)

ich hoffe ihr könnt mir helfen

hier die logfile von hijack this

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:51, on 23.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\BitDefender10\vsserv.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {11241072-58BB-40CE-9171-0B2BDFB22E97} - C:\WINDOWS\system32\nnnmkhh.dll
O2 - BHO: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: VideoRaptorIePlugin Class - {90C8E8F8-A7C9-41E4-92E4-C679AE6FB78D} - C:\Programme\RapidSolution\Videoraptor\VideoRaptorIePlugin.dll
O3 - Toolbar: SolidConverter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2D3DB4C-56D5-4962-869D-67033EAC4F94}: NameServer = 192.168.2.1
O20 - Winlogon Notify: nnnmkhh - C:\WINDOWS\SYSTEM32\nnnmkhh.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9210 bytes

danke im vorraus

#25 Hallo sande

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {11241072-58BB-40CE-9171-0B2BDFB22E97} - C:\WINDOWS\system32\nnnmkhh.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: nnnmkhh - C:\WINDOWS\SYSTEM32\nnnmkhh.dll

«
wende bitte CC leaner und combofix an - vom Combofix poste dann hier den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Hallo.

Habe, glaube ich, ein ähnliches Problem.
Antivir hat angezeigt:

1)
In der Datei 'C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\mljgf.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.AG' [TR/Vundo.AG] gefunden.
Ausgeführte Aktion: Datei löschen

2)
In der Datei 'C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HS233FLL\css4[1]'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.AG' [TR/Vundo.AG] gefunden.
Ausgeführte Aktion: Datei löschen

Habe daraufhin per Windows Datenträgerbereinigung Systemplatte (C bereinigt (sowohl als eingeschränkter Benutzer mit dem ich mich infiziert hab als auch administratoraccount). Systemwiederherstellung deaktiviert und F-Secure Onlinescan ausgeführt (als administrator). Hat anscheinend nichts gebracht (Actions: none). Wie gesagt hab ich mich als eingeschränkter Benutzer infiziert, auf welchem Konto sollte ich der Spyware weiter zu Leibe rücken? Intuitiv denke ich administrator?! Werde jetzt Combofix als admin ausführen...

Hier der F-Secure Report:

Scanning Report
Sunday, March 23, 2008 09:31:40 - 12:08:52

Computer name: LARSR
Scanning type: Scan target for malware, rootkits
Target: C:\
Result: 1 malware found
Tracking Cookie (spyware)

* System

Statistics
Scanned:

* Files: 722099
* System: 4284
* Not scanned: 44

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 0

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\BIOS1.ROM
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{17AC251A-4F16-41D7-9C3B-969442A5A70F}.BIN
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\NTUSER.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\NTUSER.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\NTUSER.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\LARS\LOKALE EINSTELLUNGEN\TEMP\~DF4AAE.TMP
* C:\DOKUMENTE UND EINSTELLUNGEN\LARS\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\RVGH4CL2.DEFAULT\CACHE(2)\_CACHE_001_
* C:\DOKUMENTE UND EINSTELLUNGEN\LARS\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\RVGH4CL2.DEFAULT\CACHE(2)\_CACHE_002_
* C:\DOKUMENTE UND EINSTELLUNGEN\LARS\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\RVGH4CL2.DEFAULT\CACHE(2)\_CACHE_003_
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\DR WATSON\USER.DMP
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\0F9850E2AA34E1856694F1C7BD6CA363_028B83DF-
350B-4612-B589-2243E8A2E954
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\1CADE8503194816575CB6FDEACE59360_028B83DF-
350B-4612-B589-2243E8A2E954
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\2E41EF0C2640467646C8B97A39A1B655_028B83DF-
350B-4612-B589-2243E8A2E954
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\8ADE1A8B7842844C5370D4592F377D21_028B83DF-
350B-4612-B589-2243E8A2E954
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\A2DA962AB9457709EAE8D65B383AC02F_028B83DF-
350B-4612-B589-2243E8A2E954
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MICROSOFT\CRYPTO\RSA\MACHINEKEYS\D4C273D4CA6A26AD659E2B2066D5F327_028B83DF-
350B-4612-B589-2243E8A2E954
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\NTUSER.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\NTUSER.DAT.LOG
* C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\OnlineScanner\updates\fsav_beta\fm4av.dll\dummy file name of broken archive
* C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\OnlineScanner\Anti-Virus\fm4av.dll\dummy file name of broken archive
* C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\orak4szs.default\Cache\FE32F0FAd01\FE32F0FAd01
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\ANWENDUNGSDATEN\ADOBE\ACROBAT\7.0\UPDATER\UDLOG.TXT

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-03-21
* F-Secure AVP: 7.0.171, 2008-03-21
* F-Secure Pegasus: 1.20.0, 2008-02-20
* F-Secure Blacklight: 1.0.64

Scanning options:

* Scan all files
* Scan inside archives
* Use Advanced heuristics

#27 SamIAm

wende bitte auch CC leaner und Combofix an + poste hier das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Habe Combofix durchlaufen lassen. Nach nem Neustart kam folgende Fehlermeldung auf dem eingeschränkten Benutzerkonto:

head: RUNDLL
Fehler beim Laden von C:\DOKUME~1\Lars\LOKALE~1\Temp\jkhfg.dll
Das angegebene Modul wurde nicht gefunden.

Hier jetzt die Combofix Log:

ComboFix 08-03-22.1 - admin 2008-03-23 12:59:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.649 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-23 bis 2008-03-23 ))))))))))))))))))))))))))))))
.

2008-03-23 09:29 . 2008-03-23 09:29 <DIR> d-------- C:\fsaua.data
2008-03-19 12:03 . 2008-03-19 12:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2008-03-16 18:44 . 2008-03-16 18:44 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-03-13 22:41 . 2008-03-13 22:41 <DIR> d--h----- C:\WINDOWS\Icons
2008-03-02 15:13 . 2008-03-02 15:13 <DIR> d-------- C:\Programme\MSECache
2008-02-27 12:33 . 2008-03-04 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\Lars\Anwendungsdaten\Vidalia
2008-02-27 12:33 . 2008-02-27 12:33 <DIR> d-------- C:\Dokumente und Einstellungen\Lars\Anwendungsdaten\tor
2008-02-27 12:15 . 2008-03-13 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Vidalia
2008-02-27 12:15 . 2008-03-13 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\tor
2008-02-25 12:10 . 2008-02-25 12:10 <DIR> d-------- C:\Programme\TI Education
2008-02-25 12:10 . 2000-02-22 16:46 9,152 --a------ C:\WINDOWS\system32\drivers\Ticalc.sys
2008-02-25 12:10 . 2008-02-25 12:10 197 --a------ C:\WINDOWS\Wlink92p.ini
2008-02-25 12:09 . 2008-02-25 12:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Borland Shared
2008-02-25 12:09 . 2000-01-15 13:38 1,133,568 --a------ C:\WINDOWS\system32\TTF16.ocx
2008-02-25 12:09 . 1999-11-12 05:11 184,832 --a------ C:\WINDOWS\system32\BDEADMIN.CPL
2008-02-25 12:09 . 1998-06-05 14:55 35,376 --a------ C:\WINDOWS\system32\Cynox92.ttf

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 18:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-11 13:10 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\WordToPDF
2008-03-10 20:39 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-01-29 18:23 --------- d-----w C:\Programme\Microsoft Silverlight
2008-01-26 19:10 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\DivX
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2003-04-14 19:05 1498032]
"AlcoholAutomount"="D:\Alcohol 120\axcmd.exe" [2007-12-22 08:20 222080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 13:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 13:00 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-09 20:06 7311360]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-09 20:06 86016]
"CherryKeyMan"="D:\Cherry\KeyMan\KeyMan.exe" [2006-08-02 15:08 237620]
"nwiz"="nwiz.exe" [2005-12-09 20:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="D:\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:19 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 05:24 286720]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 14:52 16841216 C:\WINDOWS\RTHDCPL.exe]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 11:06 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\Lars\Startmen�\Programme\Autostart\
DeskTask.lnk - D:\DeskTask\DeskTask.exe [2007-01-21 19:59:54 1072640]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - D:\MS Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]
phase-6 reminder.lnk - D:\Phase6\Phase6Reminder.exe [2007-07-25 14:53:56 442368]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
2Mega Camera Manager Monitor.lnk - D:\webcam\ICON.EXE [2007-11-09 17:07:37 49152]
phase-6 reminder.lnk - D:\Phase6\phase6 professional\Phase6Reminder.exe [2007-07-25 15:53:56 442368]
Privoxy.lnk - D:\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 15:30:54 250368]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\AntiVir PersonalEdition Classic\\update.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"D:\\MS Office\\Office12\\ONENOTE.EXE"=
"D:\\Warcraft III\\Warcraft III.exe"=
"D:\\Warcraft III\\War3.exe"=
"D:\\Java\\jdk1.6.0\\jre\\bin\\java.exe"=
"D:\\Java\\jdk1.6.0\\bin\\java.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"D:\\Age of Empires II\\empires2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"D:\\ICQ6\\ICQ.exe"=
"D:\\WarCraftIII - The Frozen Throne\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*isabled:@xpsp2res.dll,-22009

R2 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys [2000-02-22 16:46]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 Ch2kUSB;Cherry USB Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSB.sys [2006-06-29 17:18]
R3 Ch2kUSBM;Cherry USB Maus Treiber für CDI;C:\WINDOWS\system32\drivers\Ch2kUSBm.sys [2006-04-28 08:59]
R3 Cherry Device Interface;Cherry Device Interface;D:\Cherry\CDI\cdi.exe [2006-06-27 14:02]
S3 Ca100v;2Mega Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca100v.sys [2002-09-01 06:35]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk100.sys [2002-07-28 02:19]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-23 12:59:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-23 13:00:08
ComboFix-quarantined-files.txt 2008-03-23 12:00:00
.
2008-03-20 10:22:32 --- E O F ---

#29 SamIAm

poste bitte noch ein Log vom HijackThis
http://www.virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#30 o.g. Fehlermeldung taucht nach jedem Neustart auf. Was tun?


Logfile of HijackThis v1.99.1
Scan saved at 13:30:39, on 23.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
D:\Cherry\CDI\cdi.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Cherry\KeyMan\KeyMan.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Messenger\msmsgs.exe
D:\webcam\ICON.EXE
D:\Vidalia Bundle\Privoxy\privoxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\admin\Desktop\HiJackThis\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CherryKeyMan] "D:\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: phase-6 reminder.lnk = D:\Phase6\phase6 professional\Phase6Reminder.exe
O4 - Global Startup: Privoxy.lnk = D:\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MSOFFI~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MSOFFI~1\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182427844843
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cherry Device Interface - Cherry, Auerbach Germany, www.cherry.de - D:\Cherry\CDI\cdi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe