TR/Vundo.AG Problem

#1 Guten Abend,
Ich habe mir gestern auf einer Seite den Trojaner TR/Vundo.AG eingefangen und versuche seitdem vergeblich ihn zu löschen.
[Leider kenne ich mich nicht gut mit sowas aus, habe es aber dennoch geschafft einen Hijackthis-File zu erstellen]
Ich wäre sehr dankbar für eure Hilfe!

Hier ist der HIJACKTHIS:
------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:23, on 22.03.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\ACER\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - C:\WINDOWS\System32\gebbabc.dll
O2 - BHO: SBBho Class - {c9803b12-f0a0-11dc-95ff-0800200c9a66} - C:\WINDOWS\TinyBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Webcam Enhance V2.1] C:\WINDOWS\runtfs32.exe
O4 - HKCU\..\Run: [Intel Audio Studio V2.0] C:\WINDOWS\fmideploy.exe
O4 - HKCU\..\Run: [Audio Studio V2.8] C:\WINDOWS\flsmontr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebbabc - C:\WINDOWS\SYSTEM32\gebbabc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Enterprise Mailing Service (s3svc) - Send-Safe - C:\WINDOWS\System32\sse.exe

--
End of file - 5131 bytes

-------------------------------------------------------

#2 Peripetie

wende CCl eaner an
http://www.virus-protect.org/ccleaner.html

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - C:\WINDOWS\System32\gebbabc.dll

O2 - BHO: SBBho Class - {c9803b12-f0a0-11dc-95ff-0800200c9a66} - C:\WINDOWS\TinyBHO.dll

O20 - Winlogon Notify: gebbabc - C:\WINDOWS\SYSTEM32\gebbabc.dll

««
scanne mit rvaxo + poste den report
http://www.virus-protect.org/artikel/tools/rvaxo.html

««
wende zum Schluss Combofix an + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebbabc]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Audio Studio V2.8]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Audio Studio V2.8"=-

File::
C:\WINDOWS\fetchuserid.exe
C:\Temp\roeuz3032.exe

Folder::
C:\VundoFix Backups
C:\WINDOWS\system32\aqVreo01
C:\WINDOWS\system32\xir
C:\WINDOWS\system32\pex3
C:\WINDOWS\system32\imd4
C:\WINDOWS\system32\aqVreo01
C:\Temp\gbRve12

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden
PC neustarten
+
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo

info:
meine gesammelten Werke zu dieser VundoVariante
http://www.virus-protect.org/artikel/spyware/vundo_uwce9.html

«
wir entfernen mal noch nicht die Combofix-Quarantäne...

«
scanne mit Bitdefender Online + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

Was heißt denn "Wir entfernen mal noch nicht die Combifix-Quarantäne"?

Bitdefender-Report siehe Anhang!
Wie muss ich weiter vorgehen?

#6 Hallo,

na, ich wollte sehen, was der Bitdefender rauslöscht aus Qoobox - viel war es leider nicht hat nur wenig erkannt

«
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
http://www.virus-protect.org/systemwiederherstellung.html

««
dann scanne mit Online-Scan (Panda) + poste den report
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Panda Scan sagt: No viruses or other malicious software have been found!

Heißt das, dass der Trojaner nun weg ist?

#8 ja, es ist alles wieder o.k.
Alles Gute.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Oh, wirklich? Das ist ja schön.
Dann bedanke ich mich recht herzlich für die nette Hilfe und wünsche frohe Ostern.

#10 Hallo,

ich habe das selbe Problem.

Hier ist der HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:26:44, on 24.03.2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\System32\rcapi.exe

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE

C:\WINNT\system32\stisvc.exe

C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINNT\system32\vmnat.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\vmnetdhcp.exe

C:\WINNT\system32\notepad.exe

C:\WINNT\explorer.exe

D:\hijack\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.consors.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: eBlocs Security Toolbar - {68FF9E0F-2E96-4467-87FA-1A8B9734C7E7} - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ssstbar\sssTbar.dll

O2 - BHO: {ad39516e-0c9d-c168-0894-0551fc850c58} - {85c058cf-1550-4980-861c-d9c0e61593da} - C:\WINNT\system32\qbdjhftr.dll (file missing)

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: eBlocs Security Toolbar - {68FF9E0F-2E96-4467-87FA-1A8B9734C7E7} - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ssstbar\sssTbar.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [PDFSaver] C:\Programme\Tracker\PDF-XChange\PDFSaver.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [EPSON Stylus C82 Series (Kopieren 3)] REM C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P36 "EPSON Stylus C82 Series (Kopieren 3)" /O5 "LPT1:" /M "Stylus C82"

O4 - HKLM\..\Run: [EPSON Stylus C82 Series] REM C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Photo Downloader] REM "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [EPSON Stylus C82 Series (Kopieren 2)] REM C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P36 "EPSON Stylus C82 Series (Kopieren 2)" /O5 "LPT1:" /M "Stylus C82"

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINNT\Samsung\PanelMgr\SSMMgr.exe /autorun

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [BM4f0c8788] Rundll32.exe "C:\WINNT\system32\wvoymeac.dll",s

O4 - HKLM\..\Run: [4c3fb414] rundll32.exe "C:\WINNT\system32\ghmstnre.dll",b

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Time Watch] C:\Programme\Time Watch\Timewatch.exe hide

O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART

O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Startup: Respond.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (PanoramaViewer-innoPlus Control) - http://www.webplaner-innoplus.de/innova/pano/prog/rundum.7.0.2.0.cab

O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A8B7F4C8-4EF9-4788-A4D8-F87B35F7A104}: NameServer = 192.168.1.1,217.237.149.142

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = homenet

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = homenet

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = homenet

O20 - Winlogon Notify: urqnkhe - urqnkhe.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

O23 - Service: Verwaltungsdienst f¸r die Verwaltung logischer Datentr‰ger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ELSA CAPI Control (ElsaCapiCtl) - ELSA AG - C:\WINNT\System32\rcapi.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, M¸nchen - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe



--

End of file - 8667 bytes


Ich hoffe Ihr könnt mir auch helfen.

#11 Hallo Trollmich

1.
CC leaner anwenden
http://www.virus-protect.org/ccleaner.html

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O2 - BHO: {ad39516e-0c9d-c168-0894-0551fc850c58} - {85c058cf-1550-4980-861c-d9c0e61593da} - C:\WINNT\system32\qbdjhftr.dll (file missing)

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O4 - HKLM\..\Run: [BM4f0c8788] Rundll32.exe "C:\WINNT\system32\wvoymeac.dll",s

O4 - HKLM\..\Run: [4c3fb414] rundll32.exe "C:\WINNT\system32\ghmstnre.dll",b

O20 - Winlogon Notify: urqnkhe - urqnkhe.dll (file missing)

3.
wende Combofix an + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Sabina,

das ist schön das Du auch Feiertags antwortest.
Hier mein Combofixreport.

ComboFix 08-03-23.5 - max 24.03.2008 11:25:15.2 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.288 [GMT 1:00]

ausgef¸hrt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe



[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

.

-- Script messages for sUBs --

C:\WINNT\system32\CF11090.exe /S /D /c" 1>>d-delA.dat 2>nul ( Findstr -MF:/ "out.dll.DllCanUnloadNow.DllGetClassObject" )"

Findstr -MF:/ "out.dll.DllCanUnloadNow.DllGetClassObject"



(((((((((((((((((((((((((((((((((((( Weitere Lîschungen ))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\WINNT\NDNuninstall6_38.exe

C:\WINNT\NDNuninstall6_90.exe

C:\WINNT\NDNuninstall6_98.exe



.

((((((((((((((((((((((( Dateien erstellt von 2008-02-24 bis 2008-03-24 ))))))))))))))))))))))))))))))

.



2008-03-24 10:18 . 08-03-24 10:18 <DIR> d-------- C:\Programme\CCleaner

2008-03-24 00:33 . 08-03-24 08:38 1,543,339 ---hs---- C:\WINNT\system32\erntsmhg.ini

2008-03-24 00:32 . 08-03-24 00:32 90,176 --------- C:\WINNT\system32\ghmstnre.dll

2008-03-23 00:30 . 08-03-24 00:34 1,543,219 ---hs---- C:\WINNT\system32\gojmlfts.ini

2008-03-23 00:27 . 08-03-23 00:28 92,224 --a------ C:\WINNT\system32\yucrgrvw.dll

2008-03-04 14:44 . 07-01-11 08:19 11,008 -ra------ C:\WINNT\system32\BUFADPT.SYS

2008-02-28 13:41 . 08-02-28 13:41 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData



.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-24 10:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware

2008-03-24 09:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-03-23 00:54 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitTorrent

2008-03-22 07:35 --------- d-----w C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\VMware

2008-03-21 08:25 --------- d-----w C:\Programme\Ahead

2008-03-21 08:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead

2008-03-13 16:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service

2008-02-24 07:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\VMware

2006-12-27 10:28 87,608 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ezpinst.exe

2006-12-27 10:28 47,360 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys

2005-03-31 10:37 21 ----a-w C:\Programme\AVPersonalAVWIN.INI

2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe

2003-09-21 16:55 271 ---h--w C:\Programme\desktop.ini

2003-09-21 16:55 22,080 ---h--w C:\Programme\folder.htt

.



------- Sigcheck -------



02-07-24 13:00 7952 094f0e779faecb9452ce5cda48e6fedf C:\WINNT\system32\svchost.exe

02-07-24 13:00 7952 094f0e779faecb9452ce5cda48e6fedf C:\WINNT\system32\dllcache\svchost.exe

.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [02-07-24 13:00 20752 C:\WINNT\system32\internat.exe]

"Time Watch"="C:\Programme\Time Watch\Timewatch.exe" [04-01-07 19:57 346182]

"PowerBar"="" []

"AutoStart-Manager"="C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe" [04-12-09 13:23 393216]

"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [07-09-08 00:01 43008]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [02-07-22 01:10 577602]

"MAILSPOOL"="C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe" [00-03-17 14:43 36864]

"Logitech Utility"="Logi_MwX.Exe" [03-12-17 08:50 19968 C:\WINNT\LOGI_MWX.EXE]

"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [03-10-07 10:02 1711195]

"PDFSaver"="C:\Programme\Tracker\PDF-XChange\PDFSaver.exe" [03-02-21 13:16 61440]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [05-06-03 02:52 36975]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [07-10-10 19:53 249896]

"Synchronization Manager"="mobsync.exe" [03-06-19 12:05 112400 C:\WINNT\system32\mobsync.exe]

"EPSON Stylus C82 Series (Kopieren 3)"="REM C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [ ]

"EPSON Stylus C82 Series"="REM C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [ ]

"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [06-10-22 12:22 7700480]

"nwiz"="nwiz.exe" [06-10-22 12:22 1622016 C:\WINNT\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [06-10-22 12:22 86016 C:\WINNT\system32\nvmctray.dll]

"Adobe Photo Downloader"="REM C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [07-03-13 16:42 180269]

"EPSON Stylus C82 Series (Kopieren 2)"="REM C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [ ]

"Samsung PanelMgr"="C:\WINNT\Samsung\PanelMgr\SSMMgr.exe" [06-06-07 12:25 507904]

"QuickTime Task"="REM C:\Programme\QuickTime\qttask.exe" [ ]

"VMware hqtray"="C:\Programme\VMware\VMware Player\hqtray.exe" [07-10-08 09:21 55856]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [08-01-11 22:16 39792]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [02-07-24 13:00 20752 C:\WINNT\system32\internat.exe]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05 189712]



R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [07-09-08 20:00 ]

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINNT\system32\DRIVERS\SONYPVM1.SYS [00-05-27 04:37 ]

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [07-09-08 20:00 ]

R1 BUFADPT;BUFADPT;C:\WINNT\system32\BUFADPT.SYS [07-01-11 08:19 ]

R1 SSHDRV85;SSHDRV85;C:\WINNT\System32\drivers\SSHDRV85.sys [05-11-22 08:22 ]

R2 ElsaCapiCtl;ELSA CAPI Control;C:\WINNT\System32\rcapi.exe [01-02-01 15:43 ]

R2 ElsaCapiDrv;ELSA CAPI Driver;C:\WINNT\system32\Drivers\rcapi.sys [01-01-30 18:42 ]

R2 ELSAWAN;ELSA COMCAPI (NDISWAN MiniPort) (Ver. 3.02.0005);C:\WINNT\system32\DRIVERS\ELSAWAN.sys [00-01-14 14:46 ]

R2 rvsport;RVS Virtual COM Port;C:\WINNT\system32\drivers\rvsport.sys [01-01-17 23:00 ]

R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 12:05 ]

R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 12:05 ]

S2 SSPORT;SSPORT;C:\WINNT\system32\Drivers\SSPORT.sys []

S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" [06-09-10 06:56 ]

S3 cel90xbe;cel90xbe;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cel90xbe.sys []



.

Inhalt des "geplante Tasks" Ordners

"2008-03-20 16:27:13 C:\WINNT\Tasks\AppleSoftwareUpdate.job"

- C:\Programme\Apple Software Update\SoftwareUpdate.exe

"2003-10-12 07:53:32 C:\WINNT\Tasks\Firma (12_10_2003_09_49).job"

- C:\Programme\AceBIT\AceBackup\AceBackup.exe

.

**************************************************************************



catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-24 11:31:44

Windows 5.0.2195 Service Pack 4 NTFS



Scanne versteckte Prozesse...



Scanne versteckte Autostart EintrÑge...



Scanne versteckte Dateien...



Scan erfolgreich abgeschlossen

versteckte Dateien: 0



**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE

C:\WINNT\system32\stisvc.exe

C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINNT\system32\vmnat.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\vmnetdhcp.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-03-24 11:34:14 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-24 10:33:59

ComboFix2.txt 2008-03-24 09:17:30

Die Logdatei ist ziemlich umfangreich!
Ich hoffe das Du mich befreien kanst von diesem Troijaner.

Gruß Michael

#13 Trollmich

http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINNT\system32\erntsmhg.ini
C:\WINNT\system32\ghmstnre.dll
C:\WINNT\system32\gojmlfts.ini
C:\WINNT\system32\yucrgrvw.dll

Klicke auf den Roten MoveIt!

»»
scanne, lasse alles entfernen + poste den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Das eine Programm "OTMoveIt" schreibt:

C:\WINNT\system32\erntsmhg.ini moved successfully.
LoadLibrary failed for C:\WINNT\system32\ghmstnre.dll
C:\WINNT\system32\ghmstnre.dll NOT unregistered.
C:\WINNT\system32\ghmstnre.dll moved successfully.
C:\WINNT\system32\gojmlfts.ini moved successfully.
LoadLibrary failed for C:\WINNT\system32\yucrgrvw.dll
C:\WINNT\system32\yucrgrvw.dll NOT unregistered.
C:\WINNT\system32\yucrgrvw.dll moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03242008_130843



Und "Malwarebytes" schreibt:



Malwarebytes' Anti-Malware 1.09
Datenbank Version: 528

Scan Art: Schnell Scan
Objekte gescannt: 27664
Scan Dauer: 8 minute(s), 0 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


MfG
Michael

#15 Trollmich

otmoveIt.
klicken: CleanUp! button

dann sollte wieder alles i.o. sein

du kannst noch einen Scan mit Bitdefender machen
http://board.protecus.de/t8642.htm
__________
MfG Sabina

rund um die PC-Sicherheit