TR/Vundo.AG Trojaner... Wie entfernen?

#46 Hallo,
ich habe auch das Problem mit dem TR/Vundo.AG Trojaner.
AntiVir schlägt öfters alarm, kann aber das Löschen klappt nicht.....

Ich bitte höflichst um Hilfe.

Ich habe die Anleitung wie folgt abgearbeitet:
1. Datenträgerbereinigung und Systemwiederherstellung wie angegeben ausgeführt.
2. ComboFix ausgeführt
3. Hijackthis ausgeführt
4. Datfind.bat ausgeführt
5. folgendes hatdie Antivirguard als Fundort ausgegeben:

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQBA5E7\CA3I2D3J

C:\WINDOWS\system32\sstqq.dll

und beim nächsten mal
C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPO7ULE5\CAHW3UZX

C:\WINDOWS\system32\ddaba.dll

Hier nun die Logfiles

ComboFix 08-03-23.2 - HWB 2008-03-24 1:29:59.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.544 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HWB\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\buttons\games.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\buttons\screensaver.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\contexts\error.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\contexts\related.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\contexts\travel.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\contexts\Travel.xml.backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\SimpleUpdate\ProductMessagingConfig.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\SimpleUpdate\ProductMessagingConfig.xml.backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\SimpleUpdate\SimpleUpdateConfig.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\SimpleUpdate\SimpleUpdateConfig.xml.backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\SimpleUpdate\TimerManagerConfig.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\SimpleUpdate\TimerManagerConfig.xml.backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware\U0000BBDD.exe
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\BrowserSearch\BrowserSearch.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\BrowserSearch\BrowserSearch.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ErrorSearch\ErrorSearchOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ErrorSearch\ErrorSearchOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Games\GamesOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Games\GamesOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Layouts\PreferencesLayout.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Layouts\PreferencesLayout.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Layouts\ToolbarLayout.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Layouts\ToolbarLayout.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Manager\ManagerOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Manager\ManagerOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\PopupBlocker\PopupBlockerOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\PopupBlocker\PopupBlockerOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Reference\ReferenceOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Reference\ReferenceOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\RelatedSearch\RelatedSearchOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\RelatedSearch\RelatedSearchOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ScreenSavers\ScreenSaversOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ScreenSavers\ScreenSaversOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\SearchMatch\SearchMatchOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\SearchMatch\SearchMatchOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\SmileyTown\SmileyTownOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\SmileyTown\SmileyTownOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Toolbar\TBProductsOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\Toolbar\TBProductsOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ToolbarLogo\ToolbarLogoOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ToolbarLogo\ToolbarLogoOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ToolbarSearch\ToolbarSearchOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\ToolbarSearch\ToolbarSearchOptions.xml.backup
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\TravelSearch\TravelSearchOptions.xml
C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\Starware\TravelSearch\TravelSearchOptions.xml.backup
C:\Programme\screensavers.com
C:\Programme\screensavers.com\Installer\bin\iebyterange.xml
C:\Programme\screensavers.com\Installer\bin\iebyterange.xml.backup
C:\Programme\screensavers.com\Installer\bin\ScreensaversInst.dll
C:\Programme\screensavers.com\Installer\bin\siuninst.exe
C:\Programme\screensavers.com\Installer\temp\dm16.tmp
C:\Programme\screensavers.com\Wallpaper\Shrek 2 - Puss in Boots.jpg
C:\Programme\screensavers.com\Wallpaper\swpstart.exe
C:\Programme\starware
C:\Programme\starware\bin\Starware.dll
C:\Programme\starware\brand.bmp
C:\Programme\starware\icons\star_16.ico
C:\Programme\starware\StarwareConfig.xml
C:\Programme\starware\StarwareUninstall.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\ceululuh.dll
C:\WINDOWS\system32\dkvwqlrx.dll
C:\WINDOWS\system32\pmnnonk.dll
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\tttss.ini
C:\WINDOWS\system32\tttss.ini2
C:\WINDOWS\system32\xrlqwvkd.ini

.
((((((((((((((((((((((((( Files Created from 2008-02-24 to 2008-03-24 )))))))))))))))))))))))))))))))
.

2008-03-23 12:12 . 2008-03-23 12:12 <DIR> d-------- C:\VundoFix Backups
2008-03-23 12:08 . 2008-03-23 12:08 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-03-22 02:57 . 2008-03-24 01:37 2,206 --a------ C:\WINDOWS\system32\wpa.dbl
2008-03-18 01:47 . 2008-03-18 01:47 44,032 --a------ C:\WINDOWS\system32\ljjhghe.dll.xxx
2008-02-27 18:08 . 2008-02-27 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\ICAClient
2008-02-27 18:05 . 2008-02-27 18:05 <DIR> d-------- C:\Programme\Citrix

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-05 23:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-05 23:39 --------- d-----w C:\Programme\SigmaTel
2008-02-04 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Maxtor
2008-02-04 22:19 --------- d-----w C:\Programme\Maxtor
2008-02-04 22:18 --------- d-----w C:\Programme\MSXML 6.0
2008-02-01 12:50 --------- d-----w C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\IsolatedStorage
2008-02-01 12:46 --------- d-----w C:\Programme\PowerQuest
2007-09-18 20:53 60,392 ----a-w C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-08-10 23:34 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 15:25 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [ ]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-19 16:29 294912]
"SoundMan"="SOUNDMAN.EXE" [2002-10-28 07:38 47104 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 15:55 153088]
"PCMService"="C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe" [2003-02-17 18:35 57344]
"mm_server"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_server.exe" [2006-01-17 13:26 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"ElbyCheckAnyDVD"="C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" [2003-09-20 20:23 45056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:58 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-02 15:12 98304]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"mmtask"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2006-01-17 13:26 53248]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 19:52 483328]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-25 03:33 5898240]
"nwiz"="nwiz.exe" [2006-07-25 03:33 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-25 03:33 86016]
"mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 14:53 169264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
"Microsoft Update"="wuamgrd.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\system32\msadm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnonk]
pmnnonk.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Adobe\\GoLive CS_DEU\\GoLive.exe"=
"C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_server.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"51004:TCP"= 51004:TCP:eMulePort
"51004:UDP"= 51004:UDP:eMulePortUDP

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-05 22:33]
R0 lfsfilt;Lean File Sharing;C:\WINDOWS\system32\DRIVERS\lfsfilt.sys [2006-03-20 19:40]
R0 lpx;LPX Protocol;C:\WINDOWS\system32\DRIVERS\lpx.sys [2006-03-20 19:39]
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-09-12 14:19]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-05 22:33]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-09-12 14:48]
R2 Maxtor Sync Service;Maxtor Service;C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 12:24]
R2 U3sHlpDr;U3sHlpDr;C:\WINDOWS\System32\Drivers\U3sHlpDr.sys [2003-06-17 18:47]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-11-04 15:29]
R3 ndasbus;NDAS Bus Driver;C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2006-03-20 19:39]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-11-04 15:32]
S2 wuamgrd;Windows Update Service;C:\WINDOWS\System32\wuamgrd.exe []
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-03-20 17:38]
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-11-08 10:50]
S3 ndasscsi;NDAS SCSI Miniport Driver;C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2006-03-20 19:39]
S3 PciCon;PciCon;G:\PciCon.sys []
S3 PortlUSB;PortlUSB;C:\WINDOWS\system32\DRIVERS\MTC.sys [2004-06-24 13:52]
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2003-12-16 18:13]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 01:36:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NDAS\System\ndasmgmt.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Completion time: 2008-03-24 1:41:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-24 00:40:57
.
2008-03-15 17:06:26 --- E O F ---









Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:50:35, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_server.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NDAS\System\ndasmgmt.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.5:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [mm_server] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_server.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msadm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TrekStor NDAS-Geräte-Manager.lnk = C:\Programme\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137353984343
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://limbeckerplatz.dyndns.org/activex/AMC.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O20 - Winlogon Notify: pmnnonk - pmnnonk.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: Windows Update Service (wuamgrd) - Unknown owner - C:\WINDOWS\System32\wuamgrd.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9241 bytes




.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\system32

24.03.2008 01:37 2.206 wpa.dbl
21.03.2008 23:25 2.206 wpa.dbl.xxx
21.03.2008 23:24 22.175 nvapps.xml.xxx
18.03.2008 01:47 44.032 ljjhghe.dll.xxx
05.03.2008 17:30 19.148.408 MRT.exe
28.02.2008 22:24 225.616 FNTCACHE.DAT
12.12.2007 15:55 387.268 TZLog.log
07.12.2007 15:36 3.080.192 mshtml.dll
07.12.2007 02:06 665.088 wininet.dll
07.12.2007 02:06 1.494.528 shdocvw.dll
07.12.2007 02:06 474.624 shlwapi.dll
07.12.2007 02:06 617.472 urlmon.dll
07.12.2007 02:06 39.424 pngfilt.dll
07.12.2007 02:06 532.480 mstime.dll
07.12.2007 02:06 449.024 mshtmled.dll
07.12.2007 02:06 146.432 msrating.dll
07.12.2007 02:06 357.888 dxtmsft.dll
07.12.2007 02:06 205.312 dxtrans.dll
07.12.2007 02:06 55.808 extmgr.dll
07.12.2007 02:06 16.384 jsproxy.dll
07.12.2007 02:06 96.768 inseng.dll
07.12.2007 02:06 251.392 iepeers.dll
07.12.2007 02:06 152.064 cdfview.dll
07.12.2007 02:06 1.056.256 danim.dll
07.12.2007 02:06 1.023.488 browseui.dll
07.12.2007 00:40 373.760 xpsp3res.dll
04.12.2007 19:40 550.912 oleaut32.dll


.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\DOKUME~1\HWB\LOKALE~1\Temp

24.03.2008 01:53 105.776 datfind.txt
1 Datei(en) 105.776 Bytes
0 Verzeichnis(se), 23.519.252.480 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS

24.03.2008 01:38 1.761.773 WindowsUpdate.log
24.03.2008 01:36 1.011.133 setupapi.log
24.03.2008 01:36 0 0.log
24.03.2008 01:36 6.120 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
24.03.2008 01:36 227 system.ini
24.03.2008 01:36 2.048 bootstat.dat
24.03.2008 01:35 32.618 SchedLgU.Txt
24.03.2008 01:35 311 wiadebug.log
24.03.2008 01:12 228.251 setupact.log
23.03.2008 22:25 50 wiaservc.log
23.03.2008 21:37 127.660 ntbtlog.txt
22.03.2008 02:14 116 NeroDigital.ini
16.03.2008 20:17 54.156 QTFont.qfn
27.02.2008 19:01 383.153 wmsetup.log
18.02.2008 10:36 429.671 comsetup.log
18.02.2008 10:36 208.357 iis6.log
18.02.2008 10:36 260.863 ntdtcsetup.log
18.02.2008 10:36 1.374 imsins.log
18.02.2008 10:36 509.144 tsoc.log
18.02.2008 10:36 64.181 ocmsn.log
18.02.2008 10:36 15.780 KB946026.log
18.02.2008 10:36 64.939 msgsocm.log
18.02.2008 10:36 641.920 ocgen.log
18.02.2008 10:36 1.299.059 FaxSetup.log
18.02.2008 10:36 1.374 imsins.BAK
18.02.2008 10:36 19.600 KB944533.log
18.02.2008 10:36 64.871 updspapi.log
18.02.2008 10:35 12.443 KB943055.log
11.02.2008 21:39 1.409 QTFont.for
08.02.2008 16:00 1.181 wmsetup10.log
06.02.2008 01:38 512.334 msxml6-KB933579-enu-x86.LOG
09.01.2008 02:15 10.638 KB941644.log
09.01.2008 02:15 10.797 KB943485.log
27.12.2007 20:00 164.649 DirectX.log
21.12.2007 23:16 5.854 KB946627.log
12.12.2007 15:56 13.921 KB942840.log
12.12.2007 15:55 25.015 KB942763.log
12.12.2007 15:55 11.910 KB941569.log
12.12.2007 15:54 12.819 KB941568.log
12.12.2007 15:54 17.009 KB942615.log
12.12.2007 15:54 10.792 KB944653.log


.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.01.2006 18:20 590 sndplay.inf
03.11.2005 20:24 495 LegitCheckControl.inf


Ich danke schonmal im Voraus für die Bemühungen.

Hans-Werner
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#47 Hallo HWBausE

1.
wende cc leaner an
http://www.virus-protect.org/ccleaner.html

2.
Start -- Ausführen -- schreib rein: cmd
kopiere von hier aus rein: (eventuelle Fehlermeldungen ignorieren:)

sc stop Windows Update Service

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Windows Update Service

[klicke "enter"]

sc stop wuamgrd

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete wuamgrd

[klicke "enter"]

-------------------------------------------------------

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\Programme\Internet Explorer\iexplore.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnnonk]

Driver::
wuamgrd

Folder::
C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPO7ULE5
C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IBQBA5E7
C:\VundoFix Backups

File::
C:\WINDOWS\system32\ddaba.dll
C:\WINDOWS\system32\msadm.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\system32\ljjhghe.dll.xxx

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten
»
poste das neue Log von Combofix

(eventuell musst du dem IE dann wieder die Rechte geben (XP-Firewall), um ins Net zu kommen)
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Hallo Sabina
erstmal Frohe Ostern.

Danke für die Antwort. Ich habe alles durchgeführt.
Hier nun die Datei.

Gruß
Hans-Werner

ComboFix 08-03-23.2 - HWB 2008-03-24 11:17:18.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.726 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HWB\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HWB\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\ddaba.dll
C:\WINDOWS\system32\ljjhghe.dll.xxx
C:\WINDOWS\system32\msadm.exe
C:\WINDOWS\System32\wuamgrd.exe
.
TimedOut: Windir.dat
TimedOut: progfile.dat
-- Other TimeOuts --
VFind -td "C:\WINDOWS\system32\baiso*"
CF9451.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"
Findstr -MIF:/ "\\TTC\.pdb InsertAdvertisement"
GREP -i "C:\\Programme\\[^\\]*\\[^\\]*$"
VFind -tf -s282624 "C:\Programme\????????*[0-9].dll"
CF9451.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups
C:\WINDOWS\system32\ljjhghe.dll.xxx

.
((((((((((((((((((((((((( Files Created from 2008-02-24 to 2008-03-24 )))))))))))))))))))))))))))))))
.

2008-03-24 11:04 . 2008-03-24 11:04 <DIR> d-------- C:\Programme\CCleaner
2008-03-24 01:46 . 2008-03-24 01:46 <DIR> d-------- C:\Programme\Trend Micro
2008-03-23 12:08 . 2008-03-23 12:08 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-03-22 02:57 . 2008-03-24 10:58 2,206 --a------ C:\WINDOWS\system32\wpa.dbl
2008-02-27 18:08 . 2008-02-27 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\ICAClient
2008-02-27 18:05 . 2008-02-27 18:05 <DIR> d-------- C:\Programme\Citrix

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 00:49 --------- d-----w C:\Programme\Managed DirectX (0900)
2008-02-05 23:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-05 23:39 --------- d-----w C:\Programme\SigmaTel
2008-02-04 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Maxtor
2008-02-04 22:19 --------- d-----w C:\Programme\Maxtor
2008-02-04 22:18 --------- d-----w C:\Programme\MSXML 6.0
2008-02-01 12:50 --------- d-----w C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\IsolatedStorage
2008-02-01 12:46 --------- d-----w C:\Programme\PowerQuest
2007-09-18 20:53 60,392 ----a-w C:\Dokumente und Einstellungen\HWB\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-08-10 23:34 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 15:25 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [ ]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-19 16:29 294912]
"SoundMan"="SOUNDMAN.EXE" [2002-10-28 07:38 47104 C:\WINDOWS\SOUNDMAN.EXE]
"Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe]
"VOBRegCheck"="C:\WINDOWS\System32\VOBREGCheck.exe" [2003-01-08 15:55 153088]
"PCMService"="C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe" [2003-02-17 18:35 57344]
"mm_server"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_server.exe" [2006-01-17 13:26 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"ElbyCheckAnyDVD"="C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" [2003-09-20 20:23 45056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:58 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-02 15:12 98304]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"mmtask"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2006-01-17 13:26 53248]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 19:52 483328]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-25 03:33 5898240]
"nwiz"="nwiz.exe" [2006-07-25 03:33 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-25 03:33 86016]
"mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 14:53 169264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Adobe\\GoLive CS_DEU\\GoLive.exe"=
"C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_server.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\eMule\\eMule.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"=
"C:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"51004:TCP"= 51004:TCP:eMulePort
"51004:UDP"= 51004:UDP:eMulePortUDP

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-05 22:33]
R0 lfsfilt;Lean File Sharing;C:\WINDOWS\system32\DRIVERS\lfsfilt.sys [2006-03-20 19:40]
R0 lpx;LPX Protocol;C:\WINDOWS\system32\DRIVERS\lpx.sys [2006-03-20 19:39]
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-09-12 14:19]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-05 22:33]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-09-12 14:48]
R2 Maxtor Sync Service;Maxtor Service;C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 12:24]
R2 U3sHlpDr;U3sHlpDr;C:\WINDOWS\System32\Drivers\U3sHlpDr.sys [2003-06-17 18:47]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-11-04 15:29]
R3 ndasbus;NDAS Bus Driver;C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2006-03-20 19:39]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-11-04 15:32]
S3 ATWPKT;ATWPKT;C:\WINDOWS\system32\Drivers\ATWPKT.SYS [2002-03-20 17:38]
S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys [2002-11-08 10:50]
S3 ndasscsi;NDAS SCSI Miniport Driver;C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2006-03-20 19:39]
S3 PciCon;PciCon;G:\PciCon.sys []
S3 PortlUSB;PortlUSB;C:\WINDOWS\system32\DRIVERS\MTC.sys [2004-06-24 13:52]
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2003-12-16 18:13]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 11:22:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NDAS\System\ndasmgmt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\DitExp.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
.
**************************************************************************
.
Completion time: 2008-03-24 11:27:28 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-24 10:27:25
ComboFix2.txt 2008-03-24 00:41:01
.
2008-03-15 17:06:26 --- E O F ---
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#49 Hallo,

im grunde müsste wieder alles i.o. sein, dennoch wollen wir mal sehen, ob es noch Eintraege vom Wurm gibt.

http://www.virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

wuamgrd

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Update Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hallo Sabina,
die Guard von Antivir hat mir gerade eine andere Version gemeldet:

TR/Vundo.Gen
C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP706\A0137366.dll

Habe auf Löschen der Datei geklickt

Gruß
Hans-Werner
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#51 das ist no Problem

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
http://www.virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Hallo Sabina,
hier die Logs

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.03.2008 12:43:23 for strings:
; 'wuamgrd'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.03.2008 12:46:07 for strings:
; 'windows update service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Gruß
Hans-Werner
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#53 nun, es scheint alles wieder o.k. zu sein

scanne, lasse alles entfernen + poste den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html

mache noch einen Onlinescan mit bitdefender + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#54 Hallo Sabina,
der Scan läuft......

Was bewirkt eigentlich der TR/Vundo.AG ????

Gruß
Hans-Werner
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#55 Hallo Sabina,
beim Scan meldete AntiVir folgende Dateien, welche dann gelöscht werden sollten:

C:\QooBox\Quarantine\C\WINDOWS\system32\ceululuh.dll.vir
C:\QooBox\Quarantine\C\WINDOWS\system32\dkvwqlrx.dll.vir
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnnonk.dll.vir
C:\QooBox\Quarantine\C\WINDOWS\system32\pmnnonk.dll.vir

Ich muß jetzt einen Krankenhausbesuch machen und lasse den Bit Defnder laufen. Wenn ich zurück bin sende ich den Report.

Gruß
Hans-Werner

Hier der Scan


Malwarebytes' Anti-Malware 1.09
Datenbank Version: 528

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|U:\|V:\|W:\|X:\|)
Objekte gescannt: 159173
Scan Dauer: 56 minute(s), 36 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\8881_upload.exe (Worm.Sasser) -> Quarantined and deleted successfully.
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#56 HWBausE

otmoveIt
http://www.virus-protect.org/artikel/tools/otmoveIt.html

klicken: CleanUp! button

dann ist alles wieder o.k.

«««««««
mache noch einen Onlinescan mit bitdefender
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#57 Hallo Sabina,
bin endlich zurück.....

Was meinst Du mit der u.a.
otmoveIt und wo ist der CleanUp button ??

Zitat

Sabina postete
HWBausE

otmoveIt
klicken: CleanUp! button

dann ist alles wieder o.k.




«««««««
mache noch einen Onlinescan mit bitdefender
http://board.protecus.de/t8642.htm

BitDefender Online Scanner



C:\Dokumente und Einstellungen\HWB\Desktop\VNCVIEWER.EXE
Detected with: Application.Remoteadmin.BS

C:\Dokumente und Einstellungen\HWB\Desktop\VNCVIEWER.EXE
Disinfection failed

C:\Dokumente und Einstellungen\HWB\Desktop\VNCVIEWER.EXE
Deleted

C:\Dokumente und Einstellungen\HWB\Eigene Dateien\Eigene Downloads\movie1.htm
Infected with: Trojan.Downloader.HTML.Zlob.E

C:\Dokumente und Einstellungen\HWB\Eigene Dateien\Eigene Downloads\movie1.htm
Disinfection failed

C:\Dokumente und Einstellungen\HWB\Eigene Dateien\Eigene Downloads\movie1.htm
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 3): Registration Confirmation
Infected with: Generic.Peed.Eml.ABF4CFF4

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 3): Registration Confirmation
Disinfection failed

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 3): Registration Confirmation
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 10): 357189/85=>[Subject: AZ: 357189/85][Date: Tue, 22 May 2007 14:47:44 -0100]=>(MIME part)=>Original_Invoice.rar=>O_Mahnung_Sign17174724535187871.pdf.exe
Infected with: Trojan.Downloader.Nurech.BG

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 10): 357189/85=>[Subject: AZ: 357189/85][Date: Tue, 22 May 2007 14:47:44 -0100]=>(MIME part)=>Original_Invoice.rar=>O_Mahnung_Sign17174724535187871.pdf.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 10): 357189/85=>[Subject: AZ: 357189/85][Date: Tue, 22 May 2007 14:47:44 -0100]=>(MIME part)=>Original_Invoice.rar
Update failed

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 11): Mahnung AZ: 804829/95=>[Subject: Mahnung AZ: 804829/95][Date: Tue, 22 May 2007 14:48:56 -0100]=>(MIME part)=>Anlage_zum_Mahnung.rar=>O_Mahnung_Sign17174724535187871.pdf.exe
Infected with: Trojan.Downloader.Nurech.BG

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 11): Mahnung AZ: 804829/95=>[Subject: Mahnung AZ: 804829/95][Date: Tue, 22 May 2007 14:48:56 -0100]=>(MIME part)=>Anlage_zum_Mahnung.rar=>O_Mahnung_Sign17174724535187871.pdf.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 11): Mahnung AZ: 804829/95=>[Subject: Mahnung AZ: 804829/95][Date: Tue, 22 May 2007 14:48:56 -0100]=>(MIME part)=>Anlage_zum_Mahnung.rar
Update failed

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 13): Onlinedurchsuchung NR-[22444260]=>[Subject: Onlinedurchsuchung NR-[22444260]][Date: Fri, 11 May 2007 15:23:25 -0300]=>(MIME part)=>NR-[22444260].scr
Infected with: Trojan.Downloader.Nurech.AQ

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 13): Onlinedurchsuchung NR-[22444260]=>[Subject: Onlinedurchsuchung NR-[22444260]][Date: Fri, 11 May 2007 15:23:25 -0300]=>(MIME part)=>NR-[22444260].scr
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 13): Onlinedurchsuchung NR-[22444260]=>[Subject: Onlinedurchsuchung NR-[22444260]][Date: Fri, 11 May 2007 15:23:25 -0300]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 13): Onlinedurchsuchung NR-[22444260]
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 14): Aktenzeichen 681798322=>[Subject: Aktenzeichen 681798322][Date: Tue, 8 May 2007 21:35:55 -0400]=>(MIME part)=>91958.zip=>Aktenzeichen.doc.exe
Infected with: Trojan.Downloader.Nurech.BE

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 14): Aktenzeichen 681798322=>[Subject: Aktenzeichen 681798322][Date: Tue, 8 May 2007 21:35:55 -0400]=>(MIME part)=>91958.zip=>Aktenzeichen.doc.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 14): Aktenzeichen 681798322=>[Subject: Aktenzeichen 681798322][Date: Tue, 8 May 2007 21:35:55 -0400]=>(MIME part)=>91958.zip
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 14): Aktenzeichen 681798322=>[Subject: Aktenzeichen 681798322][Date: Tue, 8 May 2007 21:35:55 -0400]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 14): Aktenzeichen 681798322
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 15): Onlinedurchsuchung NR-[62352547]=>[Subject: Onlinedurchsuchung NR-[62352547]][Date: Sat, 5 May 2007 11:35:15 +0200]=>(MIME part)=>NR-[62352547].zip=>Aktenzeichen.exe
Infected with: Trojan.Downloader.Nurech.BD

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 15): Onlinedurchsuchung NR-[62352547]=>[Subject: Onlinedurchsuchung NR-[62352547]][Date: Sat, 5 May 2007 11:35:15 +0200]=>(MIME part)=>NR-[62352547].zip=>Aktenzeichen.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 15): Onlinedurchsuchung NR-[62352547]=>[Subject: Onlinedurchsuchung NR-[62352547]][Date: Sat, 5 May 2007 11:35:15 +0200]=>(MIME part)=>NR-[62352547].zip
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 15): Onlinedurchsuchung NR-[62352547]=>[Subject: Onlinedurchsuchung NR-[62352547]][Date: Sat, 5 May 2007 11:35:15 +0200]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 15): Onlinedurchsuchung NR-[62352547]
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 16): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 05:31:23 -0400]=>(MIME part)=>Rechnung.zip=>Rechnung_Sign177138535545553187871.pdf.exe
Infected with: Trojan.Downloader.Nurech.AN

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 16): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 05:31:23 -0400]=>(MIME part)=>Rechnung.zip=>Rechnung_Sign177138535545553187871.pdf.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 16): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 05:31:23 -0400]=>(MIME part)=>Rechnung.zip
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 16): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 05:31:23 -0400]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 16): Forderung AZ: 105485/43
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 17): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 16:48:24 -0400]=>(MIME part)=>Rechnung.zip=>Rechnung_Sign177138535545553187871.pdf.exe
Infected with: Trojan.Downloader.Nurech.AN

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 17): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 16:48:24 -0400]=>(MIME part)=>Rechnung.zip=>Rechnung_Sign177138535545553187871.pdf.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 17): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 16:48:24 -0400]=>(MIME part)=>Rechnung.zip
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 17): Forderung AZ: 105485/43=>[Subject: Forderung AZ: 105485/43][Date: Tue, 24 Apr 2007 16:48:24 -0400]=>(MIME part)
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 17): Forderung AZ: 105485/43
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx
Updated

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 18): Ihre detaillierte GEZ Rechnung von 10.01.2007 - 10.02.2007=>[Subject: Ihre detaillierte GEZ Rechnung von 10.][Date: Mon, 12 Feb 2007 16:08:27 -0600]=>(MIME part)=>Rechnung_unYH33fi67in.zip=>Rechnungu6dDenfi32in.pdf.exe
Infected with: Trojan.Downloader.Nurech.Q

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 18): Ihre detaillierte GEZ Rechnung von 10.01.2007 - 10.02.2007=>[Subject: Ihre detaillierte GEZ Rechnung von 10.][Date: Mon, 12 Feb 2007 16:08:27 -0600]=>(MIME part)=>Rechnung_unYH33fi67in.zip=>Rechnungu6dDenfi32in.pdf.exe
Deleted

C:\Dokumente und Einstellungen\HWB\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A65648-431F-4D85-B754-61ABF5E797AA}\Microsoft\Outlook Express\PRIVAT.dbx=>(message 18): Ihre detaillierte GEZ Rechnung von 10.01.2007 - 10.02.2007=>[Subject: Ihre detaillierte GEZ Rechnung von 10.][Date: Mon, 12 Feb 2007 16:08:27 -0600]=>(MIME part)=>Rechnung_unYH33fi67in.zip
Update failed

C:\QooBox\Quarantine\C\Programme\Screensavers.com\Installer\bin\ScreensaversInst.dll.vir
Detected with: Adware.Comet.E

C:\QooBox\Quarantine\C\Programme\Screensavers.com\Installer\bin\ScreensaversInst.dll.vir
Deleted

C:\QooBox\Quarantine\C\Programme\Starware\bin\Starware.dll.vir
Detected with: Adware.Toolbar.Comet.E

C:\QooBox\Quarantine\C\Programme\Starware\bin\Starware.dll.vir
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\ljjhghe.dll.xxx.vir
Infected with: Trojan.Vundo.EEH

C:\QooBox\Quarantine\C\WINDOWS\system32\ljjhghe.dll.xxx.vir
Deleted

C:\QooBox\Quarantine\catchme2008-03-24_ 13624.06.zip=>pmnnonk.dll
Infected with: Trojan.Vundo.EEH

C:\QooBox\Quarantine\catchme2008-03-24_ 13624.06.zip=>pmnnonk.dll
Deleted

C:\QooBox\Quarantine\catchme2008-03-24_ 13624.06.zip
Updated

C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP708\A0138859.EXE
Detected with: Application.Remoteadmin.BS

C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP708\A0138859.EXE
Disinfection failed

C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP708\A0138859.EXE
Deleted

C:\WINDOWS\system32\cmd.ftp
Infected with: Trojan.FTPGet.B

C:\WINDOWS\system32\cmd.ftp
Disinfection failed

C:\WINDOWS\system32\cmd.ftp
Deleted
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !

#58 Hier nunport bie um Hilf bkomme den trojana Vundo.g nicht vom rechner habe erst vor Woche ein nees Briebsystem druf gemacht....... Send scan sobaldes fetig ist

#59 Hallo Sabina,
ich habe die entsprechenden (und noch vorhandenen) Dateien in Outlook Express manuell gelöscht und einen neuen Suchlauf mit Bitdefender gestartet.

KEINE FUNDE !!!

JUBEL !!!!!!


Vielen Dank für die schnelle und professionelle Hilfe.

Hans-Werner

PS.: Ich habe in anderen Beiträgen gelesen, das noch Dateien / Programe gelöscht werden müssen bzw. sollen. Ist das bei mir auch so ?

Und was macht der TR/Vundo.AG auf (m)einem PC ????

Danke schomal für die Antworten

Hans-Werner
__________
Die Intelligenz verfolgt mich .....
Aber ich bin schneller !